VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Rozměr: px
Začít zobrazení ze stránky:

Download "VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ"

Transkript

1 VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ FACULTY OF ELECTRICAL ENGINEERING AND COMMUNICATION ÚSTAV TELEKOMUNIKACÍ DEPARTMENT OF TELECOMMUNICATIONS ELEKTRONICKÁ IDENTIFIKACE A SLUŽBY VYTVÁŘEJÍCÍ DŮVĚRU PRO ELEKTRONICKÉ TRANSAKCE ELECTRONIC IDENTIFICATION AND TRUST SERVICES IN ELECTRONIC TRANSACTIONS BAKALÁŘSKÁ PRÁCE BACHELOR'S THESIS AUTOR PRÁCE AUTHOR Lukáš Hrbotický VEDOUCÍ PRÁCE SUPERVISOR doc. Ing. Václav Zeman, Ph.D. BRNO 2018

2 Bakalářská práce bakalářský studijní obor Informační bezpečnost Ústav telekomunikací Student: Lukáš Hrbotický ID: Ročník: 3 Akademický rok: 2017/18 NÁZEV TÉMATU: Elektronická identifikace a služby vytvářející důvěru pro elektronické transakce POKYNY PRO VYPRACOVÁNÍ: Uveďte definice a vysvětlení pojmů, které se využívají pro oblasti elektronické komunikace a jsou uvedeny v nařízení eidas (Zákon o službách vytvářejících důvěru pro elektronické transakce č. 297/2016 Sb.). Zaměřte se především na popis technických prostředků, které tyto služby zajišťují. Navrhněte a realizujte systém, který bude demonstrovat funkčnost uvedených služeb. DOPORUČENÁ LITERATURA: [1] DOSTÁLEK, Libor. - VOHNOUTOVÁ, Marta. Velký průvodce infrastrukturou PKI a technologií elektronického podpisu. Vyd. 2. Brno : Computer Press, s. ISBN [2] Zákon č. 297/2016 Sb. Zákonu o službách vytvářejících důvěru pro elektronické transakce. Sbírka zákonů České republiky. 2016, částka 115, s ISSN Termín zadání: Termín odevzdání: Vedoucí práce: Konzultant: doc. Ing. Václav Zeman, Ph.D. prof. Ing. Jiří Mišurec, CSc. předseda oborové rady UPOZORNĚNÍ: Autor bakalářské práce nesmí při vytváření bakalářské práce porušit autorská práva třetích osob, zejména nesmí zasahovat nedovoleným způsobem do cizích autorských práv osobnostních a musí si být plně vědom následků porušení ustanovení 11 a následujících autorského zákona č. 121/2000 Sb., včetně možných trestněprávních důsledků vyplývajících z ustanovení části druhé, hlavy VI. díl 4 Trestního zákoníku č.40/2009 Sb. Fakulta elektrotechniky a komunikačních technologií, Vysoké učení technické v Brně / Technická 3058/10 / / Brno

3 ABSTRAKT Tato bakalářská práce se zabývá problematikou elektronické identifikace a služeb vytvářejících důvěru pro elektronické transakce. Práce popisuje a vysvětluje pojmy, které se využívají v oblasti elektronické komunikace a jsou uvedeny v nařízení eidas. Dále se zabývá řešeními demonstrující služby vytvářející důvěru. V praktické části je návrh laboratorní úlohy, kdy si student vyzkouší možnosti, které certifikační autorita nabízí. Cílem práce je definice a vysvětlení pojmů dle nařízení eidas a realizace systému, který funkčnost těchto služeb bude demonstrovat. KLÍČOVÁ SLOVA Elektronická transakce, elektronická identifikace, bezpečnost, eidas, certifikát, digitální podpis, elektronický podpis, elektronická pečeť, elektronické časové razítko, služba elektronického doporučeného doručování, autentizace internetových stránek, certifikační autorita, gnomint, laboratorní úloha ABSTRACT Bachelors thesis talking about problematics of electronic identification and trust services in electronic transactions. It describes and explains concepts used in the area of electronical communication mentioned in regulation eidas. Solutions demonstrating trust services are part of the work. As practical part of this thesis was created laboratory exercise, in which will students try the possibilities offered by certification authority. The goal of this work is explanation and definition of concepts according to eidas regulations and realization of system demonstrating these services. KEYWORDS Electronic transactions, electronic identification, security, eidas, certificate, digital signature, electronic signatures, electronic seals, electronic time stamps, electronic registered delivery services, website authentication, certification authority, gnomint, laboratory exercise HRBOTICKÝ, Lukáš. Elektronická identifikace a služby vytvářející důvěru pro elektronické transakce. Brno, 2018, 62 s. Bakalářská práce. Vysoké učení technické v Brně, Fakulta elektrotechniky a komunikačních technologií, Ústav telekomunikací. Vedoucí práce: doc. Ing. Václav Zeman, Ph.D. Vysázeno pomocí balíčku thesis verze 2.63;

4 PROHLÁŠENÍ Prohlašuji, že svou bakalářskou práci na téma Elektronická identifikace a služby vytvářející důvěru pro elektronické transakce jsem vypracoval samostatně pod vedením vedoucího bakalářské práce a s použitím odborné literatury a dalších informačních zdrojů, které jsou všechny citovány v práci a uvedeny v seznamu literatury na konci práce. Jako autor uvedené bakalářské práce dále prohlašuji, že v souvislosti s vytvořením této bakalářské práce jsem neporušil autorská práva třetích osob, zejména jsem nezasáhl nedovoleným způsobem do cizích autorských práv osobnostních a/nebo majetkových a jsem si plně vědom následků porušení ustanovení S 11 a následujících autorského zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů, včetně možných trestněprávních důsledků vyplývajících z ustanovení části druhé, hlavy VI. díl 4 Trestního zákoníku č. 40/2009 Sb. Brno podpis autora

5 PODĚKOVÁNÍ Děkuji vedoucímu práce doc. Ing. Václavu Zemanovi, Ph.D. za cenné rady, metodickou, odbornou a trpělivou pomoc při zpracování bakalářské práce. Brno podpis autora

6 OBSAH Úvod 9 1 Nařízení Evropského parlamentu a Rady (EU) č. 910/ Důvody přijetí nařízení Forma eidas a jeho rozdělení Elektronická identifikace Služby vytvářející důvěru Elektronické dokumenty Porovnání definic pojmů Možnost praktického využití služeb vytvářejících důvěru na příkladu Technické řešení na základě legislativy Digitální podpis 32 3 Certifikát Ukázka certifikátu Elektronický podpis Elektronický podpis Zaručený elektronický podpis Kvalifikovaný elektronický podpis Uznávaný elektronický podpis Elektronická pečeť 42 6 Elektronické časové razítko 43 7 Služba elektronického doporučeného doručování 44 8 Autentizace internetových stránek SSL/TLS protokol Návrh řešení pro demonstraci služeb vytvářejících důvěru Certifikační autorita Let s Encrypt EJBCA OpenXPKI OpenCA Research Labs GnoMint

7 10 Návrh laboratorní úlohy Cíl úlohy Úkoly Teoretický úvod Certifikační autorita Certifikát Pracovní postup Závěr Závěr 56 Literatura 57 Seznam symbolů, zkratek a pojmů 61 A Obsah přiloženého CD 62

8 SEZNAM OBRÁZKŮ 1.1 Využití služeb vytvářejících důvěru Podepisování elektronických dat Útočník kompromitující komunikaci Ověření pravosti certifikátu Certifikát internetového bankovnictví České spořitelny Integrita dokumentu ověřená elektronickým podpisem Přehled certifikátu České spořitelny Podrobnosti certifikátu Základní struktura certifikační autority Certifikát internetového bankovnictví České spořitelny New Virtual Machine Wizard CA Subject Properties New Certificate Properties Certificate properties Export

9 ÚVOD Cílem této bakalářské práce je seznámení se s problematikou elektronické identifikace a služeb vytvářejících důvěru pro elektronické transakce. Dále pak realizovat systém, který bude demonstrovat funkčnost těchto služeb. V úvodu práce je stručný rozbor nařízení eidas. Zmiňujeme zde důvody jeho přijetí, popisujeme jednotlivé části jeho obsahu a v přehledné tabulce uvádíme porovnání rozdílů definic pojmů dle staré a nové legislativy. Dále komentujeme technické řešení služeb vytvářejících důvěru. Druhá kapitola se zabývá digitálním podpisem. Tento systém zde popisujeme z hlediska kryptografie a pomocí schematu vysvětlujeme mechanismus podepisování a ověřování pravosti digitálního podpisu a integrity podepsaných dat. Třetí kapitola pojednává o výhodách využití certifikátů a distribuci veřejných klíčů s jejich využitím. Na názorných schematech popisujeme způsob, jak útočník může komunikaci kompromitovat a dále, jak probíhá ověření platnosti daného certifikátu. Ve čtvrté kapitole popisujeme elektronický podpis jako právní pojem. Uvádíme jeho jednotlivé stupně důvěrnosti, popisujeme zde také požadavky na něj kladené a jejich možnou realizaci v technické praxi. Pátá kapitola v krátkosti popisuje elektronickou pečeť, na kterou zde nahlížíme jen jako na právní pojem. V šesté kapitole rozebíráme problematiku elektronických časových razítek a postup označování elektronických dokumentů tímto razítkem. V sedmé kapitole je popsána služba elektronického doporučeného doručování. V osmé kapitole popisujeme poslední ze služeb vytvářejících důvěru, jak nám je definuje nařízení eidas, a to autentizaci internetových stránek a využívání SSL/TLS protokolu. Devátá kapitola popisuje návrh systému pro demonstraci služeb vytvářejících důvěru. Uvádíme zde přehled dostupných řešení spolu s jejich výhodami a nevýhodami. Poslední kapitola je návrhem laboratorní úlohy, kde si klademe za cíl seznámit se s principem činnosti certifikační autority. V závěru shrnujeme poznatky uvedené v této bakalářské práci. 9

10 1 NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) Č. 910/2014 Náplní této kapitoly je stručně si povědět základní informace o Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (eidas). Řekneme si, proč vůbec bylo nařízení přijato a co si klade za cíl. Dále velmi zkráceně nastíníme obsah eidas a v závěru si na praktickém příkladu popíšeme služby vytvářející důvěru. 1.1 Důvody přijetí nařízení Důvodem pro přijetí eidas a jeho hlavním cílem je snaha dotvořit jednotný digitální trh Evropské unie a zvýšit důvěryhodnost a bezpečnost poskytovaných služeb tak, aby v budoucnu bylo možné nahradit papírový svět světem digitálním. Pro lepší pochopení si uveďme příklad. Pokud např. obchodujeme, tak víme, že na druhé straně sedí obchodník a nikoli neviditelný pes o jehož identitě nic nevíme (název neviditelný pes byl vymyšlen právě proto, že nevíme, kdo sedí na druhé straně) [3]. Naopak pokud my, jako obchodník, komunikujeme se svým zákazníkem, tak víme, že existuje, a že má nějakou fyzickou identitu. Úmyslně jsme zvolili tento příklad, protože eidas není zdaleka jen pro veřejnou správu. Je to úprava důvěru vytvářejících služeb pro celou Evropskou unii na celém digitálním trhu, tj. jak komerční sféru, tak i veřejnoprávní sféru. 1.2 Forma eidas a jeho rozdělení Přestože Evropská unie vydává mnoho směrnic, pro eidas byla zvolena forma nařízení. Nařízení je přímo aplikovatelné a má aplikační přednost před vnitrostátními právními předpisy. Pro aplikaci směrnice je nutné, aby členský stát vytvořil transpoziční zákon, který by na tuto směrnici adaptoval právní řád [8]. Tím se proces přijetí prodlužuje. Nařízení eidas má tři hlavní části: elektronická identifikace, služby vytvářející důvěru a elektronický dokument. Podrobnější popis jednotlivých částí si uvedeme v následujících kapitolách. 10

11 1.2.1 Elektronická identifikace V oblasti elektronické identity si eidas neklade za cíl zavést harmonizaci, ale interoperabilitu [23]. Reguluje výhradně uznávání přeshraniční elektronické identity. Tedy ne to, co daná identita znamená vnitrostátně a k čemu jsou ti jednotliví uživatelé autorizováni. Definice: EIDAS [22] definuje elektronickou identifikaci takto: elektronickou identifikací se rozumí postup používání osobních identifikačních údajů v elektronické podobě, které jedinečně identifikují určitou fyzickou či právnickou osobu nebo zastupující právnickou osobu Služby vytvářející důvěru Naproti tomu v oblasti služeb vytvářejících důvěru je cílem harmonizace [23]. Reguluje jejich poskytování, aby byl napříč Evropskou unií dosažen jednotný stupeň důvěryhodnosti elektronických dokumentů, a aby byly na důvěryhodné elektronické transakce kladeny podobné nároky. Elektronický podpis elektronický podpis zaručený elektronický podpis kvalifikovaný elektronický podpis Elektronické pečetě elektronická pečeť zaručená elektronická pečeť kvalifikovaná elektronická pečeť Elektronická časová razítka elektronické časové razítko kvalifikované elektronické časové razítko Služba elektronického doporučeného doručování služba elektronického doporučeného doručování kvalifikovaná služba elektronického doporučeného doručování 11

12 Autentizace internetových stránek U problematiky autentizace internetových stránek nalezneme pouze rozdělení podle stupně důvěryhodnosti certifikátu: certifikát pro autentizaci internetových stránek, kvalifikovaný certifikát pro autentizaci internetových stránek. Požadavky, které musejí případné certifikáty splňovat, jsou stanoveny v příloze IV [22]. Definice: Pro jednoznačnost si uveďme přesnou definici služeb vytvářejících důvěru tak, jak nám ji stanovuje článek 3 [22]: Službou vytvářející důvěru je elektronická služba, která je zpravidla poskytována za úplatu a spočívá ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami Elektronické dokumenty Poslední, spíše minoritní, část týkající se elektronických dokumentů nám ve své podstatě jen říká, že elektronickému dokumentu nesmí být upírány právní účinky jen z důvodu, že má elektronickou podobu. Definice: EIDAS [22] definuje elektronický dokument takto: elektronickým dokumentem se rozumí jakýkoli obsah uchovaný v elektronické podobě, zejména jako text nebo zvuková, vizuální nebo audiovizuální nahrávka. 1.3 Porovnání definic pojmů Nařízení eidas přináší oproti zákonu č. 227/2000 Sb. Zákon o elektronickém podpisu (zrušen k ) nové definice řady pojmů týkající se služeb vytvářejících důvěru. Některé změny jsou pouze formální, jiné však zásadní. Je proto výhodné uvést si přehled těchto pojmů (viz tab. 1.1), protože řada lidí si jisté pojmy stále ještě spojuje se starými definicemi, což často vede k mylnému výkladu problematiky. 12

13 Tab. 1.1: Porovnání definic pojmů [11] Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Podepisující osoba Elektronický podpis Zaručený elektronický podpis Fyzická osoba, která je držitelem prostředku pro vytváření elektronických podpisů a jedná jménem svým nebo jménem jiné fyzické či právnické osoby. Údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě. Elektronický podpis, který splňuje následující požadavky: 1. je jednoznačně spojen s podepisující osobou, 2. umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, 3. byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, 4. je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat. Fyzická osoba, která vytváří elektronický podpis. Data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání. Elektronický podpis, který splňuje požadavky stanovené v článku 26: a) je jednoznačně spojen s podepisující osobou; b) umožňuje identifikaci podepisující osoby; c) je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou; a d) je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat. 13

14 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Kvalifikovaný elektronický podpis Data pro vytváření elektronických podpisů Certifikát pro elektronický podpis Kvalifikovaný certifikát pro elektronický podpis Není výslovně definován. Jedinečná data, která podepisující osoba používá k vytváření elektronického podpisu. Datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování elektronických podpisů s podepisující osobou a umožňuje ověřit její identitu, nebo spojuje data pro ověřování elektronických značek s označující osobou a umožňuje ověřit její identitu. Certifikát, který má náležitosti podle 12 a byl vydán kvalifikovaným poskytovatelem certifikačních služeb. Podle 12: 1. Kvalifikovaný certifikát musí obsahovat a) označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona, b) v případě právnické osoby obchodní firmu nebo název a Zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem pro vytváření elektronických podpisů a který je založen na kvalifikovaném certifikátu pro elektronické podpisy. Jedinečná data, která podepisující osoba používá k vytváření elektronických podpisů. Elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických podpisů s určitou fyzickou osobou a potvrzuje alespoň jméno nebo pseudonym této osoby. Certifikát pro elektronický podpis, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze I: Kvalifikované certifikáty pro elektronické podpisy obsahují: a) označení, alespoň ve formě vhodné pro automatické zpracování, že 14

15 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný poskytovatel usazen, c) jméno, popřípadě jména, a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym, d) zvláštní znaky podepisující osoby, vyžadujeli to účel kvalifikovaného certifikátu, e) data pro ověřování podpisu, která odpovídají datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby, f) elektronickou značku poskytovatele certifikačních služeb založenou na kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný certifikát vydává, g) číslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikačních služeb, h) počátek a konec platnosti kvalifikovaného certifikátu, Definice dle nařízení č. 910/2014 (eidas) se certifikát vydává jako kvalifikovaný certifikát pro elektronický podpis; b) soubor dat jednoznačně identifikujících kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikované certifikáty, včetně alespoň členského státu, v němž je poskytovatel usazen, a - v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech, - v případě fyzické osoby: jméno osoby; c) alespoň jméno podepisující osoby nebo pseudonym. Je-li použit pseudonym, musí být tato skutečnost jasně vyznačena; d) data pro ověřování platnosti elektronických podpisů, která odpovídají datům pro vytváření elektronických podpisů; e) označení začátku a konce doby platnosti certifikátu; f) identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru; 15

16 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Služba vytvářející důvěru i) případně údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití, j) případně omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít. 2. Omezení pro použití kvalifikovaného certifikátu podle odstavce 1 písm. i) a j) musí být zjevná třetím stranám. 3. Další osobní údaje smí kvalifikovaný certifikát obsahovat jen se svolením podepisující osoby. g) zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává; h) údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g); i) údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu; j) pokud jsou data pro vytváření elektronických podpisů spojená s daty pro ověřování platnosti elektronických podpisů obsažena v kvalifikovaném prostředku pro vytváření elektronických podpisů, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování. - Elektronická služba, která je zpravidla poskytována za úplatu a spočívá: a) ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo 16

17 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Kvalifikovaná služba vytvářející důvěru Poskytovatel služeb vytvářejících důvěru Kvalifikovaný poskytovatel služeb vytvářejících důvěru elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo b) ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo c) v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami. - Služba vytvářející důvěru, která splňuje použitelné požadavky stanovené v tomto nařízení. Poskytovatelem certifikačních služeb se rozumí fyzická osoba, právnická osoba nebo organizační složka státu, která vydává certifikáty a vede jejich evidenci, případně poskytuje další služby spojené s elektronickými podpisy. Kvalifikovaným poskytovatelem certifikačních služeb se rozumí poskytovatel certifikačních služeb, který vydává kvalifikované certifikáty nebo Fyzická nebo právnická osoba, která poskytuje jednu či více služeb vytvářejících důvěru buď jako kvalifikovaný, nebo jako nekvalifikovaný poskytovatel služeb vytvářejících důvěru. Poskytovatel služeb vytvářejících důvěru, který poskytuje jednu či více kvalifikovaných služeb vytvářejících důvěru a kterému orgán dohledu 17

18 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Produkt Prostředek pro vytváření elektronických podpisů Kvalifikovaný prostředek pro vytváření elektronických podpisů kvalifikované systémové certifikáty nebo kvalifikovaná časová razítka nebo prostředky pro bezpečné vytváření elektronických podpisů (dále jen "kvalifikované certifikační služby") a splnil ohlašovací povinnost podle 6. Nástrojem elektronického podpisu se rozumí technické zařízení nebo programové vybavení, nebo jejich součásti, používané poskytovatelem certifikačních služeb pro vytváření nebo ověřování elektronických podpisů nebo pro zajištění certifikačních služeb. Technické zařízení nebo programové vybavení, které se používá k vytváření elektronických podpisů. udělil status kvalifikovaného poskytovatele. Technické zařízení nebo programové vybavení či jejich příslušné součásti, které jsou určeny k používání pro poskytování služeb vytvářejících důvěru. Konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických podpisů. - Prostředek pro vytváření elektronických podpisů, který splňuje požadavky stanovené v příloze II: 1. Kvalifikované prostředky pro vytváření elektronických podpisů vhodnými technickými prostředky a postupy přinejmenším zajistí, aby: 18

19 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) a) byla přiměřeně zajištěna důvěrnost dat pro vytváření elektronických podpisů, která byla použita při vytváření elektronického podpisu; b) data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu se mohla prakticky vyskytnout pouze jednou; c) bylo přiměřeně zajištěno, že data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu nelze odvodit a že elektronický podpis je v současnosti dostupnými technickými prostředky spolehlivě chráněn proti padělání; d) oprávněná podepisující osoba měla možnost data pro vytváření elektronických podpisů použitá při vytváření elektronického podpisu spolehlivě chránit před jejich zneužitím třetí osobou. 2. Kvalifikované prostředky pro vytváření elektronických podpisů nesmějí měnit podepisovaná data ani bránit tomu, aby byla tato data předložena podepisující 19

20 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Pečetící osoba Označující osobou se rozumí fyzická osoba, právnická osoba nebo organizační složka státu, která drží prostředek pro vytváření elektronických značek a osobě před vlastním podepsáním. 3. Data pro vytváření elektronických podpisů může jménem podepisující osoby vytvářet nebo spravovat pouze kvalifikovaný poskytovatel služeb vytvářejících důvěru. 4. Aniž je dotčen bod 1 písm. d), smějí kvalifikovaní poskytovatelé služeb vytvářejících důvěru, kteří spravují data pro vytváření elektronických podpisů jménem podepisující osoby, kopírovat data pro vytváření elektronických podpisů pouze pro účely zálohování a jsou-li splněny tyto požadavky: a) bezpečnost zkopírovaných souborů dat je na stejné úrovni jako u původních souborů dat; b) počet zkopírovaných souborů dat nepřesáhne minimum potřebné pro zajištění kontinuity služby. Právnická osoba, která vytváří elektronickou pečeť. 20

21 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Elektronická pečeť Zaručená elektronická pečeť označuje datovou zprávu elektronickou značkou. Elektronickou značkou se rozumí údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které splňují následující požadavky: 1. jsou jednoznačně spojené s označující osobou a umožňují její identifikaci prostřednictvím kvalifikovaného systémového certifikátu, 2. byly vytvořeny a připojeny k datové zprávě pomocí prostředků pro vytváření elektronických značek, které označující osoba může udržet pod svou výhradní kontrolou, 3. jsou k datové zprávě, ke které se vztahují, připojeny takovým způsobem, že je možné zjistit jakoukoli následnou změnu dat. Data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu. - Elektronická pečeť, která splňuje požadavky stanovené v článku 36: Zaručená elektronická pečeť musí splňovat tyto požadavky: a) je jednoznačně spojena s pečetící osobou; 21

22 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Kvalifikovaná elektronická pečeť Data pro vytváření elektronických pečetí Certifikát pro elektronickou pečeť b) umožňuje identifikaci pečetící osoby; c) je vytvořena pomocí dat pro vytváření elektronických pečetí, která může pečetící osoba s vysokou úrovní důvěry použít k vytváření elektronické pečeti pod svou kontrolou; a d) je k datům, ke kterým se vztahuje, připojena takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat. - Zaručená elektronická pečeť, která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a která je založena na kvalifikovaném certifikátu pro elektronickou pečeť. Daty pro vytváření elektronických značek se rozumí jedinečná data, která označující osoba používá k vytváření elektronických značek. Datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování elektronických podpisů s podepisující osobou a umožňuje ověřit její identitu, nebo spojuje data pro ověřování elektronických Jedinečná data, která pečetící osoba používá k vytváření elektronických pečetí. Elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických pečetí s určitou právnickou osobou a potvrzuje název této osoby. 22

23 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Kvalifikovaný certifikát pro elektronickou pečeť značek s označující osobou a umožňuje ověřit její identitu. Certifikát, který má náležitosti podle 12 a byl vydán kvalifikovaným poskytovatelem certifikačních služeb. Podle 12: 1. Kvalifikovaný certifikát musí obsahovat a) označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona, b) v případě právnické osoby obchodní firmu nebo název a stát, ve kterém je kvalifikovaný poskytovatel usazen; v případě fyzické osoby jméno, popřípadě jména, příjmení, případně dodatek, a stát, ve kterém je kvalifikovaný poskytovatel usazen, c) jméno, popřípadě jména, a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym, d) zvláštní znaky podepisující osoby, vyžadujeli to účel kvalifikovaného certifikátu, e) data pro ověřování podpisu, která odpovídají datům pro vytváření Certifikát pro elektronickou pečeť, který je vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru a splňuje požadavky stanovené v příloze III: Kvalifikované certifikáty pro elektronické pečetě obsahují: a) označení, alespoň ve formě vhodné pro automatické zpracování, že se certifikát vydává jako kvalifikovaný certifikát pro elektronickou pečeť; b) soubor dat jednoznačně identifikujících kvalifikovaného poskytovatele služeb vytvářejících důvěru, který vydává kvalifikované certifikáty, včetně alespoň členského státu, v němž je poskytovatel usazen, a - v případě právnické osoby: název a případné registrační číslo uvedené v úředních záznamech, - v případě fyzické osoby: jméno osoby; c) alespoň jméno pečetící osoby a případné registrační číslo uvedené v úředních záznamech; 23

24 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) podpisu, jež jsou pod kontrolou podepisující osoby, f) elektronickou značku poskytovatele certifikačních služeb založenou na kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný certifikát vydává, g) číslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikačních služeb, h) počátek a konec platnosti kvalifikovaného certifikátu, i) případně údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití, j) případně omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít. 2. Omezení pro použití kvalifikovaného certifikátu podle odstavce 1 písm. i) a j) musí být zjevná třetím stranám. 3. Další osobní údaje smí kvalifikovaný certifikát obsahovat jen se svolením podepisující osoby. Definice dle nařízení č. 910/2014 (eidas) d) data pro ověřování platnosti elektronických pečetí, která odpovídají datům pro vytváření elektronických pečetí; e) označení začátku a konce doby platnosti certifikátu; f) identifikační číslo certifikátu, které musí být jedinečné pro daného kvalifikovaného poskytovatele služeb vytvářejících důvěru; g) zaručený elektronický podpis nebo zaručenou elektronickou pečeť kvalifikovaného poskytovatele služeb vytvářejících důvěru, který certifikát vydává; h) údaj o místu, kde je bezplatně k dispozici certifikát, na němž je založen zaručený elektronický podpis nebo zaručená elektronická pečeť podle písmene g); i) údaj o umístění služeb, které lze využít k zjištění platnosti kvalifikovaného certifikátu; j) pokud jsou data pro vytváření elektronických pečetí spojená s daty pro ověřování platnosti elektronických pečetí 24

25 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Prostředek pro vytváření elektronických pečetí Kvalifikovaný prostředek pro vytváření elektronických pečetí Elektronické časové razítko Kvalifikované elektronické časové razítko Prostředkem pro vytváření elektronických značek se rozumí zařízení, které používá označující osoba pro vytváření elektronických značek a které splňuje další náležitosti stanovené tímto zákonem. obsažena v kvalifikovaném prostředku pro vytváření elektronických pečetí, příslušnou poznámku, alespoň ve formě vhodné pro automatické zpracování. Konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických pečetí. - Prostředek pro vytváření elektronických pečetí, který přiměřeně splňuje požadavky stanovené v příloze II. - Data v elektronické podobě, která spojují jiná data v elektronické podobě s určitým okamžikem a prokazují, že tato jiná data existovala v daném okamžiku. Kvalifikovaným časovým razítkem se rozumí datová zpráva, kterou vydal kvalifikovaný poskytovatel certifikačních služeb a která důvěryhodným způsobem spojuje data v elektronické podobě s časovým okamžikem, a zaručuje, že uvedená data v elektronické Elektronické časové razítko, které splňuje požadavky stanovené v článku 42: 1. Kvalifikované elektronické časové razítko musí splňovat tyto požadavky: a) spojuje datum a čas s daty takovým způsobem, aby byla přiměřeně 25

26 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Elektronický dokument Služba elektronického doporučeného doručování podobě existovala před daným časovým okamžikem. Datovou zprávou se rozumí elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na technických nosičích dat, používaných při zpracování a přenosu dat elektronickou formou, jakož i data uložená na technických nosičích ve formě datového souboru. Upraveno zákonem č. 300/2008 Sb. (Zákon o elektronických úkonech a autorizované konverzi dokumentů) zamezena možnost nezjistitelné změny dat; b) je založeno na zdroji přesného času, který je spojen s koordinovaným světovým časem; a c) je podepsáno s použitím zaručeného elektronického podpisu, opatřeno zaručenou elektronickou pečetí kvalifikovaného poskytovatele služeb vytvářejících důvěru nebo označeno jinou rovnocennou metodou. Jakýkoli obsah uchovávaný v elektronické podobě, zejména jako text nebo zvuková, vizuální nebo audiovizuální nahrávka. Služba, která umožňuje přenášet data mezi třetími osobami elektronickými prostředky a poskytuje důkazy týkající se nakládání s přenášenými daty, včetně dokladu o odeslání a přijetí dat, a která chrání přenášená data před rizikem 26

27 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Kvalifikovaná služba elektronického doporučeného doručování Upraveno zákonem č. 300/2008 Sb. (Zákon o elektronických úkonech a autorizované konverzi dokumentů) ztráty, odcizení, poškození nebo neoprávněných změn. Služba elektronického doporučeného doručování, která splňuje požadavky stanovené v článku 44: 1. Kvalifikované služby elektronického doporučeného doručování musí splňovat tyto požadavky: a) jsou poskytovány jedním či více kvalifikovanými poskytovateli služeb vytvářejících důvěru; b) s vysokou úrovní spolehlivosti zajišťují identifikaci odesílatele; c) zajišťují identifikaci příjemce před doručením dat; d) odesílání a přijímání dat je zabezpečeno prostřednictvím zaručeného elektronického podpisu nebo zaručené elektronické pečeti kvalifikovaného poskytovatele služeb vytvářejících důvěru tak, aby byla vyloučena možnost nezjistitelné změny dat; e) odesílatel a příjemce dat jsou jednoznačně vyrozuměni o případných změnách dat potřebných za účelem odeslání nebo přijetí dat; 27

28 Pojem Definice dle zákona č. 227/2000 Sb. (Zákon o elektronickém podpisu) Definice dle nařízení č. 910/2014 (eidas) Data pro ověřování platnosti Ověřování platnosti Daty pro ověřování elektronických podpisů se rozumí jedinečná data, která se používají pro ověření elektronického podpisu. f) datum a čas odeslání, přijetí a případná změna dat jsou označeny prostřednictvím kvalifikovaného elektronického časového razítka. Data, která se používají k ověření platnosti elektronického podpisu nebo elektronické pečeti. - Postup ověřující shodu a potvrzující platnost elektronického podpisu nebo elektronické pečeti. 28

29 1.4 Možnost praktického využití služeb vytvářejících důvěru na příkladu Pro lepší pochopení využití služeb vytvářejících důvěru v praxi si uveďme jednoduchý příklad podávání daňového přiznání online [23]. Schema postupu je znázorněno na obr. 1.1 a je to jeden z možných postupů, nikoli povinný, jak nahlížet na elektronickou transakci. Nyní si toto schema popíšeme. 1. První služba, kterou začínáme, je autentizace webu. Musíme mít jistotu, že komunikujeme se serverem daňové správy. 2. V další kroku se musíme identifikovat (a následně autentizovat, aby naše identifikace byla důvěryhodná) my, jako daňoví poplatníci, a že daňové přiznání podáváme jménem někoho konkrétního (ať už za sebe nebo za osobu, která nás k tomuto úkonu zmocnila). 3. Vyplněné daňové přiznání předáme do portálu veřejné správy a ten nám jeho přijetí potvrdí. V obou fázích lze využít různé prostředky k tomu, abychom daňové přiznání uzamkli a učinili ho neměnným. Následně dostaneme potvrzení, že bylo v uzamčené podobě přijato a nikdo nám ho nezmodifikoval. K tomuto účelu slouží různá kombinace prostředků: elektronický podpis jako prostředek vyjadřující vůli fyzické osoby, elektronická pečeť jako prostředek vyjadřující vůli právnické osoby, případně v kombinaci s elektronickým časovým razítkem, které je legálním doložením času, kdy jsme tento úkon učinili a kdy jsme přes doručovací kanál přijali potvrzení. 4. Potvrzení o přijetí daňového přiznání nám daňová správa může poslat např. systémem doporučeného elektronického doručování (v kontextu České republiky se jedná o datovou schránku). 5. Na závěr musí existovat metody, jak daňové přiznání uložit a archivovat pro případ auditu třetí stranou nebo pro případ daňové kontroly. Závěrem toho příkladu chceme upozornit na rozdíl významu slov může a musí. V různých fázích elektronické transakce se vybírají různé prostředky na to, co považujeme za důvěryhodné, a kromě zákonného rámce daného eidasem, případně národní legislativou, je zbytek na komunikujících stranách. Nikde není stanoven přesný postup a pořadí použití jednotlivých služeb. To záleží na principech a provozních pravidlech té konkrétní poskytující služby [23]. 29

30 AUTENTIZACE WEBU AUTENTIZACE ELEKTRONICKÉ IDENTITY UŽIVATELE VYPLNĚNÍ DAŇOVÉHO PŘIZNÁNÍ ARCHIVACE ELEKTRONICKÉ DORUČOVÁNÍ ELEKTRONICKÉ ČASOVÉ RAZÍTKO ELEKTRONICKÝ PODPIS ELEKTRONICKÁ PEČEŤ Obr. 1.1: Využití služeb vytvářejících důvěru 1.5 Technické řešení na základě legislativy Použití hardwarových tokenů anebo softwarovou implementaci eidas ani jeho prováděcí vyhlášky neřeší [27]. Podle vyjádření vedoucího oddělení vývoje České pošty, s.p., která je mj. provozovatelem certifikační autority PostSignum, jsme zjistili, jak se k této záležitosti staví právě certifikační autorita PostSignum. Využívají výhradně kryptografický algoritmus založený na RSA s podpisovým algoritmem SHA256. Podporují velikost klíčů 2048 a 4096 bitů, přičemž 4096 bitů je v současnosti výjimkou. Hardwarové úložiště klíčů (token, čipové karty) podporují velikost klíčů pouze 2048 bitů. Výše uvedené algoritmy se využívají při podepisování všech typů vydávaných certifikátů pro koncové uživatele i pro certifikáty infrastrukturní, tedy i certifikáty pro podpis časových razítek. Pokud jde o normy technické a právní, tak certifikáty vydávají v souladu s nařízením EU 910/2014 tzv. eidas a navazujícím zákonem 297/2016 Sb. o službách vytvářejících důvěru pro el. transakce. Certifikační autorita má status kvalifikovaného poskytovatele služeb vytvářející důvěru, takže můžou vydávat kvalifikované certifikáty dle eidas. [12] Pokud jde o technické normy, tak jsme získali informaci, že se řídí dle: ETSI EN Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers, ETSI EN Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1 3, ETSI EN Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 1 5, ETSI EN Electronic Signatures and Infrastructures (ESI); Cryptographic Suites, 30

31 RFC 6960 Internet X.509 Internet Public Key Infrastructure Online Certificate Status Protocol OCSP, RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework. Jelikož technické normy nejsou závazné [18] [30], jedná se pouze o doporučení, kterými je, z důvodu zajištění dostatečné bezpečnosti, vhodné se řídit. 31

32 2 DIGITÁLNÍ PODPIS V této kapitole si řekneme o digitálním podpisu jako o kryptografickém systému. Dále si vysvětlíme proces podepisování dat a následné ověření tohoto podpisu. Je to kryptografický systém na bázi asymetrické kryptografie, kterým zajistíme, že pokud data útočník zmodifikuje, tak příjemce tuto skutečnost rozpozná. Digitální podpis nám také umožňuje v anonymním světě Internetu jednoznačně identifikovat totožnost podepisující entity. Digitální podpis přináší tyto výhody: integrita příjemce má jistotu, že data nebyla od podpisu změněna, nepopiratelnost odesílatel nemůže popřít, že daná data podepsal, identita podepisujícího lze jednoznačně ověřit podepisující entitu. Využití si digitální podpis našel mimo jiné i v oblasti veřejné správy, kde je snaha omezit papírové písemnosti. Aby měly státní orgány jistotu, že odeslaná data jsme skutečně vyplnili my, využijeme k tomu právě digitální podpis. Tím si také příjemce ověří, zda data přijal nezměněná a ve stejné podobě, v jaké jsme je odeslali. Stejně tak v opačném případě, když dostaneme potvrzení o přijetí, vyrozumění, vyjádření..., které je digitálně podepsané, tak si můžeme ověřit jak totožnost podepisující entity, tak i jeho integritu. Nyní si na příkladu elektronických dat popíšeme celý mechanismus podepisování a následné ověření digitálního podpisu a integrity doručených dat, jak je schematicky znázorněno na obr Podepisování: Z našich dat se pomocí hashovací funkce vytvoří hash (někdy mylně označován jako kontrolní součet [2]). Jako hashovací funkci použijeme některou z rodiny SHA-2 [13]. Tento se následně s využitím soukromého klíče odesílatele podepíše pomocí asymetrického kryptografického algoritmu. Využijeme některého z bezpečných algoritmů, třeba dle standardu ETSI TS jsou to např. RSA (s minimální délkou klíče b.) nebo DSA (s délkou klíče minimálně b.). Podle tohoto standardu se řídí i české certifikační autority; První certifikační autorita, a.s. a PostSignum (viz výše). Přenos dat: Původní data, podepsaný hash a veřejný klíč odesílatele následně předáme příjemci. Pro doručení dat můžeme využít např. Internet, vnitřní podnikovou síť anebo některé z paměťových zařízení. Veřejný klíč se předává jako součást certifikátu, který obsahuje také informace o podepisující osobě a informace o certifikační autoritě, jenž tento certifikát vydala. Zjednodušeně můžeme certifikát chápat, jako veřejný klíč odesílatele podepsaný soukromým klíčem certifikační autority [4]. Pro zvýšení důvěryhodnosti přenosového kanálu, v případě využití veřejné sítě Internet, můžeme použít např. Virtual Private Network (VPN). Tento prostředek 32

33 vytvoří jakýsi šifrovaný tunel mezi komunikujícími stranami, který zabrání případné nežádoucí činnosti útočníka. Ověření podpisu: Poslední fází je ověření pravosti digitálního podpisu a integrity dat na straně příjemce. Příjemce dat, s využitím veřejného klíče odesílatele, ověří přijatý hash. Důvěryhodnost veřejného klíče si ověří na serveru vydávající certifikační autority. Stejnou hashovací funkcí, jako činil odesílatel, provede výpočet hashe z přijatých dat a tento porovná s ověřeným hashem. Pokud jsou porovnávané hashe shodné, můžeme prohlásit, že data byla doručena bez zásahu útočníka. Naopak, pokud jsou hashe rozdílné, můžeme mít podezření na modifikaci dat útočníkem nebo na chybu během přenosu. k k pub priv = veřejný klíč Alice = soukromý klíč Alice c = certifikát Alice d = data s = podepsaná data k pub(ca) = veřejný klíč certifikační autority Ver = funkce ověření podepsaných dat Sig = funkce podepsání dat Alice CA Bob k pub, k priv, d k pub(ca) k pub c k pub(ca) s = Sig( k priv, d) s, d, c? Ver( k pub, d, s) = OK NOK Obr. 2.1: Podepisování elektronických dat Definice: Je to asymetrický kryptografický systém, který nám umožní zjistit, že pokud data útočník zmodifikuje, tak příjemce tuto skutečnost rozpozná. Obecně se pod pojmem digitální podpis chápe podpis vytvořený kryptografickými prostředky. [7] 33

34 3 CERTIFIKÁT Zde si objasníme problematiku digitálních certifikátů, jejich význam, klasifikaci dle nařízení eidas a ukážeme si strukturu konkrétního certifikátu. Digitální podpis využívá výhod asymetrické kryptografie, proto současně s podepsanými daty odesíláme příjemci (Bob) i veřejný klíč odesílatele (Alice), abychom byli schopni podpis ověřit. Je zde však riziko, že se do komunikace vloží třetí nežádoucí strana, útočník (Eva). Ten odchytne data odeslaná Alicí, znovu je podepíše, avšak za využití svého soukromého klíče, a takto nově podepsaná data spolu se svým veřejným klíčem odešle Bobovi. Tato situace je znázorněna na obr data data podepsaná Alicí veřejný klíč Alice data data podepsaná Evou veřejný klíč Evy Obr. 3.1: Útočník kompromitující komunikaci Pokud bychom nevyužívali výhod certifikátů, tak se Bob nedozví, že došlo k podepsání dat nežádoucí osobou. Jak jsme již zmínili, digitální podpis využívá výhod asymetrické kryptografie. Je tedy potřeba distribuce veřejného klíče mezi komunikujícími stranami, a to bezpečně! Za bezpečnou distribuci veřejného klíče můžeme považovat distribuci pomocí certifikátu. Certifikát je soubor, který obsahuje mimo veřejný klíč vlastníka certifikátu i další informace jako např. informace o vlastníkovi a vydavateli certifikátu, době platnosti atd. Požadavky na údaje, které musejí být v certifikátu zahrnuty jsou uvedeny v přílohách nařízení eidas. Musíme zmínit, že eidas rozlišuje více druhů certifikátů a to podle účelu jejich použití: kvalifikované certifikáty pro elektronické podpisy, kvalifikované certifikáty pro elektronické pečetě, kvalifikované certifikáty pro autentizaci internetových stránek. V Příloze I, III a IV nařízení eidas jsou uvedeny všechny údaje, které ten daný druh certifikátu musí obsahovat. Tento soubor, se všemi potřebnými obsaženými údaji, je podepsán soukromým klíčem certifikační autority, abychom zabránili jeho nežádoucí modifikaci. 34

35 Příjemce podepsaných dat a veřejného klíče podepisující osoby si pomocí volně dostupného veřejného klíče certifikační autority a databáze vydaných certifikátů ověří, zda není přijatý veřejný klíč podvržený útočníkem. Mechanismus ověření veřejného klíče u certifikační autority je znázorněn na obr CERTIFIKAČNÍ AUTORITA veřejný klíč certifikační autority databáze vydaných certifikátů osobní certifikát OK OVĚŘENÍ NOK Obr. 3.2: Ověření pravosti certifikátu 3.1 Ukázka certifikátu Koncový uživatel si může certifikát zobrazit a ověřit vydávající certifikační autoritu anebo dobu platnosti. Pro ukázku si zvolíme certifikát České spořitelny. Na obr. 3.3 vidíme obecné informace o certifikátu zobrazené ve webovém prohlížeči Mozilla Firefox. Pokud se přepneme na kartu Podrobnosti, uvidíme všechny údaje certifikátu. Pro získání základního přehledu si uveďme: verze certifikátu, sériové číslo, algoritmus podpisu certifikátu, vydavatel, platnost od, platnost do, subjekt, algoritmus veřejného klíče subjektu, veřejný klíč subjektu, použití klíče certifikátu (k jakým službám můžeme daný certifikát využít), 35

36 distribuční body CRL atd. Pokud porovnáme údaje z certifikátu s údaji uvedenými v Příloze IV nařízení eidas, zjistíme, že certifikát splňuje požadavky kladené nařízením eidas. Obr. 3.3: Certifikát internetového bankovnictví České spořitelny Na obr. 3.3 jsme viděli certifikát pro autentizaci internetových stránek tak, jak nám jej zobrazil webový prohlížeč. Nyní si opět na příkladu téže bankovní instituce ukážeme certifikát elektronického podpisu. Z internetového bankovnictví jsme si stáhli elektronický výpis z účtu a prohlížeč Adobe Acrobat Reader DC nám potvrdil (obr. 3.4) integritu dokumentu ověřenou elektronickým podpisem. Na obr. 3.5 vidíme přehled certifikátu. Máme možnost si všimnout, že Česká spořitelna vlastní minimálně dva certifikáty, první pro autentizaci internetových stránek a druhý pro elektronické podpisy. V podrobnostech certifikátu (obr. 3.6) můžeme vidět seznam položek, které certifikát obsazuje. 36

37 Obr. 3.4: Integrita dokumentu ověřená elektronickým podpisem 37

38 Obr. 3.5: Přehled certifikátu České spořitelny Obr. 3.6: Podrobnosti certifikátu 38

39 Definice: Digitální certifikát je datová struktura obsahující především veřejný klíč vlastníka certifikátu (dále obsahuje např. informace o vlastníkovi a vlastnosti související s certifikátem). Nejdůležitějším úkolem certifikátu je ověření identity vlastníka veřejného klíče. Tímto zabraňujeme podvržení veřejného klíče. [16] 39

40 4 ELEKTRONICKÝ PODPIS Právní řád nezná pojem digitální podpis, ale pouze elektronický podpis. Je to svým způsobem rezerva, kterou si zde právní řád nechává, pokud by se objevila nová forma elektronického podpisu, tak aby nebylo třeba provádět novelizaci všech dotčených právních předpisů. Nařízení eidas rozlišuje tři typy elektronických podpisů podle stupně jejich důvěryhodnosti: elektronický podpis, zaručený elektronický podpis a kvalifikovaný elektronický podpis. Tyto jednotlivé typy elektronického podpisu se od sebe odlišují především rozdílnými požadavky na jejich vytvoření a také jejich právní sílou. 4.1 Elektronický podpis Jako elektronický podpis (bez jakéhokoli přívlastku) můžeme označit cokoliv, co je použito jako podpis dané osoby a co má elektronickou podobu. Z technického hlediska se tak může jednat např. o pouhé napsání našeho jména na konec ové zprávy. Je tady zřejmé, že není zaručeno jednoznačné spojení s podepisující osobou. 4.2 Zaručený elektronický podpis Zaručený elektronický podpis musí být jednoznačně spojen s podepisující osobou a musí umožňovat její identifikaci. Musí být také vytvořen pomocí dat pro vytváření elektronických podpisů. Z toho nám plyne, že zaručený elektronický podpis musí být vytvořen pomocí certifikátu, avšak na tento certifikát nejsou kladeny žádné požadavky. Nemusí se jednat o certifikát vydaný kvalifikovaným poskytovatelem. Může se tak jednat o jakýkoliv certifikát, který si můžeme vystavit i svépomocí. 4.3 Kvalifikovaný elektronický podpis Posledním typem je kvalifikovaný elektronický podpis. Jedná se ve své podstatě o zaručený elektronický podpis, pouze vytvořený kvalifikovaným prostředkem pro vytváření elektronických podpisů a je založen na kvalifikovaném certifikátu pro elektronické podpisy. Kvalifikovaným certifikátem se rozumí certifikát, který byl vydán 40

41 kvalifikovaným poskytovatelem služeb vytvářejících důvěru. To je takový poskytovatel, kterému orgán dohledu udělil status kvalifikovaného poskytovatele. Takové kvalifikované poskytovatele máme v současné době v České republice tři: První certifikační autorita, a. s., APCS eidentity a. s. a certifikační autorita PostSignum provozovaná státním podnikem Česká pošta. Z technického hlediska není mezi zaručeným a kvalifikovaným elektronickým podpisem žádný rozdíl. Mechanismus podepisování probíhá vždy totožně a to tak, jak popisujeme v kapitole Uznávaný elektronický podpis Označení uznávaný elektronický podpis je spíše národní specialita České republiky, kterou unijní legislativa nezná (proto také není uveden v nařízení eidas). Dříve byl uznávaný elektronický podpis takový podpis, který nevyžadoval bezpečný prostředek (a byl založen na kvalifikovaném certifikátu). Dnes je tento pojem legislativní zkratka pro dva různé druhy elektronických podpisů: pro kvalifikovaný podpis takový, co vyžaduje kvalifikovaný prostředek, pro prosazenou výjimku elektronický podpis, který nevyžaduje kvalifikovaný prostředek, ale jen kvalifikovaný certifikát. Důvodem pro zavedení této legislativní zkratky je zřejmě to, aby se nemusely novelizovat úplně všechny dosavadní zákony, které původní termín uznávaný elektronický podpis používají. [26] Definice: Elektronickým podpisem se rozumí data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání. [22] 41

42 5 ELEKTRONICKÁ PEČEŤ Nařízení eidas nám přináší poměrně významnou změnu a tou je nahrazení stávajících elektronických značek elektronickými pečetěmi. Elektronické značky byly zavedeny jako elektronický podpis generovaný automatem (strojem) bez právní presumpce seznámení se s obsahem [26]. Příkladem takového použití může být generování výpisů z elektronických rejstříků, což se děje bez účasti člověka. Nyní eidas již neřeší skutečnost, zda se podepisuje strojově nebo podepisuje člověk. Stejně jako se u elektronických pečetí i u elektronických podpisů nově nepracuje s presumpcí seznámení se s obsahem. Elektronická pečeť se vydává jen právnickým osobám avšak s důležitou skutečností a to, že právnická osoba nemůže svou elektronickou pečetí opatřit cokoliv, ale jen to, co pochází od ní (čeho je původcem) [26]. Z hlediska technické proveditelnosti je proces pečetění elektronickou pečetí totožný s podepisováním elektronickým podpisem. Děje se tak stejným mechanismem, jako popisujeme v kapitole 2. Definice: Elektronickou pečetí se rozumí data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu. [22] 42

43 6 ELEKTRONICKÉ ČASOVÉ RAZÍTKO Jak je již z názvu zřejmé, elektronické časové razítko slouží k označování elektronických dat a dokazuje nám, kdy data existovala a v jakém tvaru. Souvisí totiž velmi úzce s elektronickým podpisem a to tak, že nám udává zaručený čas, kdy byla daná elektronická data podepsaná. Pokud data elektronicky podepisujeme, jako čas podpisu se použije systémový čas počítače. Na ten se nedá příliš spoléhat, protože si jej může uživatel dle vlastní vůle změnit jak do minulosti, tak i do budoucnosti. Samozřejmě tak nemusí činit, ale nemáme žádnou jistotu. Jistotu správného času a datumu nám poskytne třetí, nezávislá, strana, která bude mít správně seřízený datum a čas a nebude moci s nimi svévolně manipulovat. Maximální záruku korektního času nám poskytnou až kvalifikovaná elektronická časová razítka. Tedy taková, která nám vydala kvalifikovaná, státem uznávaná, třetí strana. Tento důvěryhodný údaj se k datům připojí ve formě elektronického časového razítka. Může existovat jako zcela samostatný objekt, ale častěji se s ním setkáme v podobě tzv. podpisového časového razítka [5]. Tedy jako něčeho, co je vloženo přímo do zaručeného či uznávaného elektronického podpisu na elektronických datech či zprávě [5]. Je důležité si vyjasnit, že elektronické časové razítko nám neříká, kdy byla data opatřená elektronickým podpisem, ale pouze k jakému okamžiku daná data již existovala (tedy data již opatřená elektronickým podpisem). Postup opatřování elektronických dat elektronickým časovým razítkem je z technického pohledu následující; z požadovaných dat vytvoříme pomocí hashovací funkce hash a ten pošleme certifikační autoritě s žádostí o elektronické časové razítko. Ta na konec hashe přidá svůj (důvěryhodný) údaj o datu a času. Takto obohacený hash podepíše svým soukromým klíčem a pošle nám jej nazpět. Definice: Elektronickým časovým razítkem se rozumí data v elektronické podobě, která spojují jiná data v elektronické podobě s určitým okamžikem a prokazují, že tato jiná data existovala v daném okamžiku. [22] 43

44 7 SLUŽBA ELEKTRONICKÉHO DOPORUČE- NÉHO DORUČOVÁNÍ V oblasti služeb elektronického doporučeného doručování je eidas velmi stručný. Řeší především právní účinky této služby. Z technického hlediska nás zajímají uvedené požadavky kladené na kvalifikované služby elektronického doporučeného doručování. Z nich, jako nejdůležitější, uveďme, že odesílání a přijímání dat je zabezpečeno prostřednictvím zaručeného elektronického podpisu nebo zaručené elektronické pečeti kvalifikovaného poskytovatele tak, aby byla vyloučena možnost nezjistitelné změny dat. Datum a čas odeslání, přijetí a případná změna dat jsou označeny prostřednictvím kvalifikovaného elektronického časového razítka. [22] Definice: Službou elektronického doporučeného doručování se dle nařízení eidas rozumí: služba, která umožňuje přenášet data mezi třetími osobami elektronickými prostředky a poskytuje důkazy týkající se nakládání s přenášenými daty, včetně dokladu o odeslání a přijetí dat, a která chrání přenášená data před rizikem ztráty, odcizení, poškození nebo neoprávněných změn. 44

45 8 AUTENTIZACE INTERNETOVÝCH STRÁ- NEK Nařízení eidas míří i na SSL/TLS certifikáty pro autentizaci webových stránek, která představuje jednu ze služeb vytvářejících důvěru. Nařízení je v tomto ohledu značně strohé a autentizaci internetových stránek upravuje pouze ve dvou odstavcích. Ani tuzemská úprava v zákonu [33] není zrovna rozsáhlá. Odvolává se však na Přílohu IV nařízení eidas, kde jsou uvedeny všechny položky, které musí kvalifikované certifikáty pro autentizaci internetových stránek obsahovat. Docela zásadní zádrhel však nastává v povinnosti používání SSL/TLS certifikátů veřejnou správou. Zatímco v případě elektronických podpisů eidas stanovuje povinnost využívat tuto službu ke komunikaci s veřejnou správou [9], u serverových certifikátů tomu tak není. Ostatně nám tuto skutečnost potvrzuje i důvodová zpráva: Poskytování a využívání služeb autentizace internetových stránek je zcela dobrovolné [22]. Další zbrzděním v masivním nasazením kvalifikovaných certifikátů pro autentizaci internetových stránek vydávaných kvalifikovaným poskytovatelem je fakt, že většina serverů využívá certifikáty vydávané americkými společnostmi jako je např. GeoTrust, Thawte či Symantec. Děje se tak především z důvodu, že hlavní vývojáři internetových prohlížečů se neřídí statusem kvalifikovaného poskytovatele dle evropských pravidel, ale využívají vlastní seznamy důvěryhodných certifikátů. Důkazem je asi dva roky starý případ výměny serverových certifikátů daňového portálu [34]. 8.1 SSL/TLS protokol První podpory se Secure Sockets Layer (SSL) protokol dočkal v roce 1994 díky webovému prohlížeči Mosaic. Svého následovníka v podobě Transport Layer Security (TLS) protokolu se dočkal v roce V síťovém modelu TCP/IP pracuje tento bezpečnostní protokol mezi aplikační a transportní vrstvou. Při přístupu uživatele na webovou stránku, pošle koncová stanice na server požadavek na zabezpečené připojení. Ten, pokud umožňuje zabezpečenou komunikaci, odešle koncové stanici svůj SSL certifikát a ta může navázat zabezpečenou komunikaci mezi klientem a webovou stránkou. Definice: Nařízení eidas nám autentizaci internetových stránek přímo nespecifikuje, nalezneme však definici certifikátu pro autentizaci internetových stránek: potvrzení, které umožňuje autentizovat internetové stránky a spojuje je s fyzickou nebo právnickou osobou, jíž je certifikát vydán. 45

46 9 NÁVRH ŘEŠENÍ PRO DEMONSTRACI SLU- ŽEB VYTVÁŘEJÍCÍCH DŮVĚRU Pro demonstraci funkčnosti služeb vytvářejících důvěru využijeme některého z volně dostupného open-source řešení certifikační autority. Takových řešení se na Internetu nachází hned několik. My si některé z nich vybereme, popíšeme si je, včetně jejich výhod a nevýhod, a na základě tohoto přehledu vybereme to nejvhodnější pro naše potřeby. 9.1 Certifikační autorita Je to třetí strana, která se neúčastní elektronické transakce mezi dvěma stranami. Certifikační autorita vydává certifikáty koncovým entitám, při elektronické transakci ověřuje platnost těchto certifikátu a v případě potřeby daný certifikát zneplatní. Certifikační autorita může být pouhá aplikace (jako v našem případě) nebo i velká společnost čítající desítky zaměstnanců. Je do maximální možné míry nezávislá a nekompromitovatelná [6]. Certifikační autorita se může jevit, jako nějaký velký systém, který funguje. Ve skutečnosti se však certifikační autorita skládá z několika vzájemně vhodně propojených komponent [32]. Obr. 9.1 znázorňuje, z kterých částí se certifikační autorita skládá a jak tyto části mezi sebou komunikují. Velmi také záleží, jaké služby daná certifikační autorita poskytuje, od této skutečnosti se odvíjí i její reální struktura. REGISTRAČNÍ AUTORITA CERTIFIKAČNÍ AUTORITA revokační seznam databáze uživatelů Online Certificate Status Protocol SERVER veřejný klíč soukromý klíč ŽADATEL UŽIVATEL Obr. 9.1: Základní struktura certifikační autority 9.2 Let s Encrypt Jde o certifikační autoritu, která byla spuštěna 12. dubna 2016 [20]. Bezplatně poskytuje certifikáty X.509 pro šifrovaný TLS přenos prostřednictvím automatizovaného procesu, jehož cílem je eliminovat dříve složitý proces manuálního vytvoření, validace, podepsání, instalace a obnovení certifikátů pro zabezpečené webové stránky. 46

47 Let s Encrypt však nabízí pouze certifikáty pro autentizaci webových stránek. Je to sice jedna ze služeb vytvářejících důvěru, ale také jediná se kterou je tato certifikační autorita schopná pracovat. Z tohoto hlediska je pro nás tento systém nevyhovující. 9.3 EJBCA EJBCA (Enterprise Java Beans Certificate Authority) je volně šiřitelná certifikační autorita pro infrastrukturu veřejných klíčů. Má více než 16letou historii (první vydání 5. prosince 2001) a je stále aktuální (poslední stabilní verze je z 8. listopadu 2017). Tento systém je vyvíjen v Javě EE a je navržen tak, aby byl nezávislý na platformě. Podporuje také použití Hardware Security Module (HSM), který poskytuje další zabezpečení. EJBCA se vyznačuje několika výhodami [15]. Na ukázku si uveďme: paralelní běh několika certifikačních autorit v rámci jedné instalace, využití Certificate Revocation List (CRL) nebo protokolu Online Certificate Status Protocol (OCSP) pro online zjištění stavu certifikátu, s ohledem na integraci podporuje většinu standardních protokolů (např. Certificate Management Protocol (CMP), Simple Certificate Enrollment Protocol (SCEP)) a vysoký výkon. 9.4 OpenXPKI Projekt začal v roce 2005 a je stále aktuální [25]. Je udržován aktualizačními balíčky, které jsou vydávány několikrát ročně. Projekt OpenXPKI je zaměřen na vývoj open-source software Public Key Infrastructure (PKI) pro podnikové účely. Je vyvíjen v programovacím jazyce Perl a je možné jej implementovat na UNIX operační systémy. OpenXKPI se vyznačuje několika výhodami [19]. Uveďme třeba: paralelní běh několika certifikačních autorit v rámci jedné instalace, webové uživatelské rozhraní a podpora HSM pro kryptografické operace. 9.5 OpenCA Research Labs Snahou tohoto projektu pravděpodobně bylo vyvinout robustní a plnohodnotnou open-source certifikační autoritu, která je založena na open-source projektech; OpenL- DAP, OpenSSL a Apache. Poslední stabilní verze byla však vydána 10. května

48 a na serveru GitHub mají soubory staré několik let, tudíž se pravděpodobně již nejedná o aktuální a stále podporovaný systém. 9.6 GnoMint Je to bezplatný nástroj na správu certifikačních autorit. Jeho hlavním cílem je snadná a přehledná ovladatelnost. Díky jeho jednoduchému grafickému rozhraní tomu tak opravdu je. V případě potřeby zpracování většího množství požadavků je možné použít dávkové příkazy skrze příkazový řádek. Umožňuje vytváření certifikačních autorit, vydávání X.509 digitálních certifikátů včetně seznamu zneplatněných certifikátů CRL. Při svém vzniku (asi před 11lety) tento projekt reagoval na díru na trhu, kdy chyběl nástroj na rychlé a účinné vydávání certifikátů včetně příslušných služeb, což svou jednoduchostí splňoval. Projekt můžeme stále považovat za aktivní, poslední verze byla vydána v březnu

49 10 NÁVRH LABORATORNÍ ÚLOHY 10.1 Cíl úlohy Seznámit se s principem činnosti certifikační autority. Pochopit princip vydávání a zneplatňování certifikátů Úkoly 1. Provést instalaci operačního systému Linux ve virtualizačním nástroji. 2. Nainstalovat program gnomint. 3. Vytvořit self-signed certifikační autoritu. 4. Podat více než jednu žádost o vydání certifikátu. 5. Zneplatnit vydaný certifikát. 6. Porovnat rozdíly mezi certifikáty Teoretický úvod Certifikační autorita GnoMint je free software nástroj pro správu certifikačních autorit využívajících certifikáty X.509. Jeho cílem je nabídnout uživateli přehledné a snadno použitelné rozhraní pro vytváření certifikačních autorit a souvisejících prvků, včetně digitálních certifikátů X.509, žádostí o podepsání certifikátů (CRS) a seznamu zneplatněných certifikátů (CRL). Více se o tomto projektu, včetně kompletní dokumentace, dozvíme na: Certifikát Digitální certifikát je datová struktura obsahující především veřejný klíč vlastníka certifikátu (dále obsahuje např. informace o vlastníkovi a vlastnosti související s certifikátem). Nejdůležitějším úkolem certifikátu je ověření identity vlastníka veřejného klíče. Tímto zabraňujeme podvržení veřejného klíče. [16] Koncový uživatel si může certifikát zobrazit a ověřit vydávající certifikační autoritu anebo dobu platnosti. Pro ukázku si zvolíme certifikát České spořitelny. Na obr vidíme obecné informace o certifikátu zobrazené ve webovém prohlížeči Mozilla Firefox. Pokud se přepneme na kartu Podrobnosti, uvidíme všechny údaje certifikátu. Pro získání základního přehledu si uveďme: verze certifikátu, 49

50 sériové číslo, algoritmus podpisu certifikátu, vydavatel, platnost od, platnost do, subjekt, algoritmus veřejného klíče subjektu, veřejný klíč subjektu, použití klíče certifikátu (k jakým úkonům můžeme daný certifikát využít), distribuční body CRL atd. Obr. 10.1: Certifikát internetového bankovnictví České spořitelny 50

51 10.4 Pracovní postup 1. Provést instalaci operačního systému Linux ve virtualizačním nástroji: Začneme instalací některé z Linuxových distribucí v libovolném virtualizačním nástroji. Pro názornou demonstraci jsme zvolili distribuci Ubuntu a program VMware. Z adresy: si stáhneme obraz instalačního disku 64bit verze Ubuntu. Spustíme si VMware a vytvoříme si nový virtuální stroj. Zvolíme: Player File New Virtual Machine... nebo použijeme klávesovou zkratku Ctrl+N. V dialogovém okně New Virtual Machine Wizard zvolíme druhou možnost Installer disc image file (iso) a kliknutím na tlačítko Browse... vybereme stažený obraz instalačního disku. Uživatelské jméno a heslo volíme rozumně a snadno zapamatovatelné, nejlépe User name: student a Password: student. V reálném nasazení volíme samozřejmě hesla silnější a bezpečnější. V dialogovém okně (obr. 10.2) dokončíme nastavení virtuálního stroje. Obr. 10.2: New Virtual Machine Wizard Vybereme právě vytvořený virtuální stroj a stiskem Play virtual machine jej spustíme. Počkáme na dokončení instalace operačního systému a přihlásíme se námi zadanými přihlašovacími údaji. 2. Nainstalovat program gnomint: V prostředí Ubuntu si spustíme terminál (můžeme použít klávesovou zkratku Ctrl+Alt+T), příkazem: sudo apt-get update 51

52 aktualizujeme seznamy balíčků a příkazem: sudo apt-get install gnomint provedeme instalaci programu gnomint. 3. Vytvořit self-signed certifikační autoritu: Seznámíme se s uživatelským prostředím a nejprve si vytvoříme databázi, ve které budou uloženy certifikační autority a samotné certifikáty, kliknutím na Certificates New certificate database a následně i self-signed certifikační autoritu. Zvolíme: Certificates Add Add self-signed CA a zobrazí se nám dialogové okno (obr. 10.3), které vyplníme vlastními údaji. Po kliknutí na Next zvolíme především typ soukromého klíče a jeho (dostatečně bezpečnou) délku. Obr. 10.3: CA Subject Properties 4. Podat více než jednu žádost o vydání certifikátu: Nyní si podáme žádost o vydání certifikátu. Klikneme na: Certificates Add Add Certificate Request a dialogové okno vyplníme údaji žadatele o certifikát. Volbou: Certificates Sign získáme možnost podepsat tento certifikát certifikační autoritou. V případě, že program bude spravovat více certifikačních autorit máme pochopitelně na výběr, která certifikát podepíše. Dále (obr. 10.4) máme možnost určit, k jakému použití a k jakým účelům certifikát vydáváme. Kliknutím pravým tlačítkem myši a volbou Properties si zobrazíme souhrnné (obr. 10.5) i detailní vlastnosti certifikátu. Stejným způsobem podáme několik dalších žádostí o certifikát a následně je podepíšeme. Při podávání žádostí volme různý typ soukromého klíče i jeho délku. Můžeme si vytvořit i druhou certifikační autoritu a pro podpis žádostí využívat nahodile obou certifikačních autorit. Uvidíme, jak program graficky rozlišuje ten který certifikát byl danou certifikační autoritou podepsaný. Při schvalování jednotlivých žádostí o certifikát využívejme možnosti volby jeho účelu a použití. 52

53 Obr. 10.4: New Certificate Properties Obr. 10.5: Certificate properties 53

54 Kliknutím pravým tlačítkem myši na certifikát a volbou Export si můžeme soukromou anebo veřejnou část exportovat. Pokud možnost Export zvolíme ještě před podepsáním žádosti o certifikát, všimněme si, že můžeme exportovat pouze soukromý klíč. Z toho je zřejmé, že soukromý klíč žadatele se generuje při podávání jeho žádosti. Naopak dialogové okno Export již podepsaného certifikátu nám nabídne export i veřejné části certifikátu (viz obr. 10.6). Obr. 10.6: Export 5. Zneplatnit vydaný certifikát: Volbou Revoke a potvrzením Yes s okamžitou platností zneplatníme certifikát. Pokud certifikát již nevidíme v seznamu certifikátů, zaškrtneme možnost View Revoked Certificates a revokované certifikáty se zobrazí přeškrtnuté. Možností Certificates Generate CRL si můžeme vygenerovat seznam zneplatněných certifikátů. Pokud máme problém s jeho otevřením v systému Linux, přeneseme si jej do prostředí Windows a soubor s příponou *.crl otevřeme. Pokud seznam zneplatněných certifikátů dostaneme a chceme jej implementovat do naší certifikační autority, využijeme k tomu možnost Certificates Import. 6. Porovnat rozdíly mezi certifikáty: Nyní si podrobně pročtěme detaily jednotlivých certifikátů a porovnejme v kterých údajích se liší. Všimněme si především typu a délky soukromého klíče a jeho použití Závěr Jaké jsou nedůležitější položky certifikátu? Jak můžeme certifikát zneplatnit? 54

KVALIFIKOVANÉ CERTIFIKÁTY

KVALIFIKOVANÉ CERTIFIKÁTY Ondřej Ševeček PM Windows Server GOPAS a.s. MCM: Directory Services MVP: Enterprise Security ondrej@sevecek.com www.sevecek.com KVALIFIKOVANÉ CERTIFIKÁTY Slovníček Česky veřejný / soukromý klíč otisk podepsat

Více

ELEKTRONICKÉ PODPISY A ELEKTRONICKÁ IDENTIFIKACE V PRAXI KATASTRÁLNÍCH ÚŘADŮ. Vladimíra Žufanová Katastrální úřad pro Středočeský kraj

ELEKTRONICKÉ PODPISY A ELEKTRONICKÁ IDENTIFIKACE V PRAXI KATASTRÁLNÍCH ÚŘADŮ. Vladimíra Žufanová Katastrální úřad pro Středočeský kraj ELEKTRONICKÉ PODPISY A ELEKTRONICKÁ IDENTIFIKACE V PRAXI KATASTRÁLNÍCH ÚŘADŮ Vladimíra Žufanová Katastrální úřad pro Středočeský kraj eidas Nařízení Evropského Parlamentu a Rady (EU) č. 910/2014 ze dne

Více

Důvěra napříč Evropou nařízení eidas. + návrh zákona o službách vytvářejících důvěru pro elektronické transakce

Důvěra napříč Evropou nařízení eidas. + návrh zákona o službách vytvářejících důvěru pro elektronické transakce Důvěra napříč Evropou nařízení eidas + návrh zákona o službách vytvářejících důvěru pro elektronické transakce 1 Nařízení eidas 2 Co znamená zkratka eidas Nařízení eidas = Nařízení (č. 910/2014) Evropského

Více

E-DOKUMENT. Změny v oblasti postavení e-dokumentů v EU 2016+ Ing.Robert Piffl, robert.piffl@icloud.com

E-DOKUMENT. Změny v oblasti postavení e-dokumentů v EU 2016+ Ing.Robert Piffl, robert.piffl@icloud.com E-DOKUMENT Změny v oblasti postavení e-dokumentů v EU 2016+ ÚVOD Information Security & earchiving Conference 2015 - egovernment aneb Stát bez papíru tento materiál slouží jako pomůcka pro osobní prezentaci

Více

ICT seminář GDPR, eidas, ZoKB. Nové legislativní povinnosti organizací a co s tím?

ICT seminář GDPR, eidas, ZoKB. Nové legislativní povinnosti organizací a co s tím? Důvěryhodný dokument ICT seminář GDPR, eidas, ZoKB. Nové legislativní povinnosti organizací a co s tím? Autor prezentace: Martin Hapl Kontakt: mhapl@mit-consulting.cz Datum: 12. 9 2017 Strana 1 1 Důvěryhodný

Více

Digitální podepisování pomocí asymetrické kryptografie

Digitální podepisování pomocí asymetrické kryptografie Digitální podepisování pomocí asymetrické kryptografie 11. dubna 2011 Trocha historie Asymetrické metody Historie Historie Vlastnosti Asymetrické šifrování 1976 Whitfield Diffie a Martin Hellman první

Více

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy VY_32_INOVACE_BEZP_08 Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/34.0304 Digitální podpisy Základní myšlenkou elektronického podpisu je obdoba klasického podpisu, jež má zaručit jednoznačnou identifikaci

Více

ZPRÁVA PRO UŽIVATELE

ZPRÁVA PRO UŽIVATELE První certifikační autorita, a.s. ZPRÁVA PRO UŽIVATELE KVALIFIKOVANÁ ČASOVÁ RAZÍTKA Stupeň důvěrnosti: veřejný dokument Verze 3.4 Zpráva pro uživatele je veřejným dokumentem, který je vlastnictvím společnosti

Více

Elektronický podpis. Elektronický podpis. Digitální podpis. Elektronický podpis x vlastnoruční podpis Dva stupně elektronického podpisu:

Elektronický podpis. Elektronický podpis. Digitální podpis. Elektronický podpis x vlastnoruční podpis Dva stupně elektronického podpisu: Elektronický podpis Elektronický podpis Elektronický podpis x vlastnoruční podpis Dva stupně elektronického podpisu: obyčejný zaručeny Digitální podpis Je číslo Využívá se šifrovacích algoritmů: symetrických

Více

ZPRÁVA PRO UŽIVATELE

ZPRÁVA PRO UŽIVATELE První certifikační autorita, a.s. ZPRÁVA PRO UŽIVATELE KVALIFIKOVANÁ ČASOVÁ RAZÍTKA Stupeň důvěrnosti: veřejný dokument Verze 3.5 Zpráva pro uživatele je veřejným dokumentem, který je vlastnictvím společnosti

Více

Elektronický podpis význam pro komunikaci. elektronickými prostředky

Elektronický podpis význam pro komunikaci. elektronickými prostředky MASARYKOVA UNIVERZITA V BRNĚ PRÁVNICKÁ FAKULTA Elektronický podpis význam pro komunikaci elektronickými prostředky (seminární práce) Lýdia Regéciová, UČO: 108551 Brno 2005 Úvod Snad každý z nás se v životě

Více

496/2004 Sb. VYHLÁŠKA Ministerstva informatiky ze dne 29. července 2004 o elektronických podatelnách

496/2004 Sb. VYHLÁŠKA Ministerstva informatiky ze dne 29. července 2004 o elektronických podatelnách 496/2004 Sb. VYHLÁŠKA Ministerstva informatiky ze dne 29. července 2004 o elektronických podatelnách Ministerstvo informatiky stanoví podle 20 odst. 4 zákona č. 227/2000 Sb., o elektronickém podpisu a

Více

Každý písemný, obrazový, zvukový, elektronický nebo jiný záznam, ať již v podobě analogové či digitální, který vznikl z činnosti původce.

Každý písemný, obrazový, zvukový, elektronický nebo jiný záznam, ať již v podobě analogové či digitální, který vznikl z činnosti původce. 6.4 Slovník archiv původce dokument archiválie Zařízení podle Zákona 499/2004 Sb. o archivnictví a spisové službě a o změně některých zákonů, které slouží k ukládání archiválií a péči o ně. Každý, z jehož

Více

Akreditovaná certifikační autorita eidentity

Akreditovaná certifikační autorita eidentity Akreditovaná certifikační autorita eidentity ACAeID 35 Zpráva pro uživatele Verze: 1.2 Odpovídá: Ing. Jiří Hejl Datum: 21. 12. 2012 Utajení: Veřejný dokument eidentity a.s. Vinohradská 184,130 00 Praha

Více

Elektronizace obchodních dokumentů Jak na to s využitím služeb I.CA

Elektronizace obchodních dokumentů Jak na to s využitím služeb I.CA Elektronizace obchodních dokumentů Jak na to s využitím služeb I.CA Mgr. Dagmar Bosáková, Jan Doubek MBA První certifikační autorita, a.s. 30. 5. 2019 Evropské nařízení a český zákon Nařízení Evropského

Více

EURO ekonomický týdeník, číslo 17/2001

EURO ekonomický týdeník, číslo 17/2001 EURO ekonomický týdeník, číslo 17/2001 Elektronický podpis Nahradí nová technologie klasický vlastnoruční podpis na papíře nebo se jedná jen o prostředek k dalšímu rozvoji sítě Internet a mohutnému postupu

Více

Identifikace a elektronický podpis. Identifikace a geolokační technologie

Identifikace a elektronický podpis. Identifikace a geolokační technologie Pojem virtuální identity Identifikace a elektronický podpis Identifikace a geolokační technologie Virtuální identita - koncepce formy e-mailová adresa, avatar, IP adresa, el. podpis problém umělé vytvoření

Více

aneb k čemu vám ten eidasvlastně bude

aneb k čemu vám ten eidasvlastně bude Was ist das eidas? aneb k čemu vám ten eidasvlastně bude JUDr. Josef Donát, LLM ROWAN LEGAL, advokátní kancelář s.r.o. Docuride, 6.10.2016, Benice O čem to tu bude Jak se správně upsat elektronickému ďáblu

Více

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS Jan Tejchman Business Consultant Moderní paperless eidas Digitální důvěra NAŘÍZENÍ EIDAS A DIGITÁLNÍ DŮVĚRA DŮVĚRA VE FYZICKÉM SVĚTĚ legislativní prostředí

Více

ZPRÁVA PRO UŽIVATELE

ZPRÁVA PRO UŽIVATELE První certifikační autorita, a.s. ZPRÁVA PRO UŽIVATELE KVALIFIKOVANÁ ČASOVÁ RAZÍTKA Stupeň důvěrnosti: veřejný dokument Verze 3.7 Zpráva pro uživatele je veřejným dokumentem, který je vlastnictvím společnosti

Více

eidas a jeho praktické využití v soukromém sektoru

eidas a jeho praktické využití v soukromém sektoru eidas a jeho praktické využití v soukromém sektoru JUDr. Josef Donát, LLM e-government 20:10, 9. 9. 2015, Mikulov Nařízení eidas Nařízení Evropského parlamentu a Rady č. 910/2014 Prováděcí předpisy Komise

Více

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2 Úroveň I - Přehled Úroveň II - Principy Kapitola 1 Kapitola 2 1. Základní pojmy a souvislosti 27 1.1 Zpráva vs. dokument 27 1.2 Písemná, listinná a elektronická podoba dokumentu 27 1.3 Podpis, elektronický

Více

Správa a ukládání elektronických dokumentů. Úvod. Ing. Jaroslav Lubas

Správa a ukládání elektronických dokumentů. Úvod. Ing. Jaroslav Lubas Správa a ukládání elektronických dokumentů Úvod Ing. Jaroslav Lubas Složení pracovního teamu Beránek Kamil Fiala Stanislav Frk Jan Kubíček Petr Lubas Jaroslav Rada Michal Tejchman Jan Hlavní cíl pracovního

Více

Ministerstvo pro místní rozvoj stanoví podle 213 odst. 3 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, (dále jen zákon ): 2 Vymezení pojmů

Ministerstvo pro místní rozvoj stanoví podle 213 odst. 3 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, (dále jen zákon ): 2 Vymezení pojmů Sbírka zákonů č. 260 / 2016 Strana 3891 260 VYHLÁŠKA ze dne 21. července 2016 o stanovení podrobnějších podmínek týkajících se elektronických nástrojů, elektronických úkonů při zadávání veřejných zakázek

Více

ZPRÁVA PRO UŽIVATELE

ZPRÁVA PRO UŽIVATELE První certifikační autorita, a.s. ZPRÁVA PRO UŽIVATELE KVALIFIKOVANÁ ČASOVÁ RAZÍTKA Stupeň důvěrnosti : veřejný dokument Verze 2.1 Zpráva pro uživatele je veřejným dokumentem, který je vlastnictvím společnosti

Více

Rozdílová tabulka návrhu předpisu České republiky s předpisem EU

Rozdílová tabulka návrhu předpisu České republiky s předpisem EU Rozdílová tabulka návrhu předpisu České republiky s předpisem EU Navrhovaný právní předpis ČR Zákon o službách vytvářejících důvěru pro elektronické transakce Odpovídající předpis ES/EU Nařízení Evropského

Více

eidas 2015 Stav 12/2015 k nařízení EU č. 910/2014 ze dne

eidas 2015 Stav 12/2015 k nařízení EU č. 910/2014 ze dne eidas 2015 Stav 12/2015 k nařízení EU č. 910/2014 ze dne 23.7.2014 Ing.Robert Piffl Poradce náměstka ministra pro řízení sekce informačních a komunikačních technologií Milníky nařízení eidas 17.09.2014

Více

eidas stav k Ing.Robert Piffl poradce náměstka ministra

eidas stav k Ing.Robert Piffl poradce náměstka ministra eidas stav k 17.3.2016 Ing.Robert Piffl poradce náměstka ministra Poznámka k prezentaci Tato prezentace slouží jako následná prezentace v rámci 3-cyklu setkání na téma eidas v poslanecké sněmovně a předpokládá

Více

KLÍČ K e-identitě. PhDr. Radek Muška. STÁTNÍ TISKÁRNA CENIN, státní podnik

KLÍČ K e-identitě. PhDr. Radek Muška. STÁTNÍ TISKÁRNA CENIN, státní podnik KLÍČ K e-identitě PhDr. Radek Muška Občanský průkaz současný stav OP jsou vydávány podle zákona č. 328/1999 Sb., o občanských průkazech V ČR vydávány od 1. 1. 2012 eop bez čipu eop s kontaktním elektronickým

Více

Práce s el. dokumenty 2018 (správná tvorba el.dokumentu, podepisování, doručování )

Práce s el. dokumenty 2018 (správná tvorba el.dokumentu, podepisování, doručování ) Práce s el. dokumenty 2018 (správná tvorba el.dokumentu, podepisování, doručování ) Mgr. Michal Desenský vedoucí oddělení spisové služby Krajský úřad Pardubického kraje Správná tvorba - Datové formáty

Více

Novinky v legislativě

Novinky v legislativě Novinky v legislativě Praha 15. června 2017 Eva Barešová Český úřad zeměměřický a katastrální Obsah Právní předpisy upravující katastr nemovitostí novely v roce 2016 a 2017 Nález Ústavního soudu sp. zn.

Více

Elektronický podpis a jeho implementace v nákupním systému

Elektronický podpis a jeho implementace v nákupním systému smooth business flow Elektronický podpis a jeho implementace v nákupním systému con4pas, s.r.o. Novodvorská 1010/14A, 140 00 Praha 4 tel.: +420 261 393 211, fax: +420 261 393 212 www.con4pas.cz Obsah Elektronický

Více

VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek

VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek Ministerstvo vnitra stanoví podle 9 odst. 3 a 4, 20 odst. 3 a 21 zákona č. 300/2008

Více

Elektronické dokumenty ve vztahu k povinné elektronizaci zadávacích řízení

Elektronické dokumenty ve vztahu k povinné elektronizaci zadávacích řízení Tematické setkání 12. 4. 2018, Praha Povinnost elektronické komunikace v zadávacích řízeních od 18. 10. 2018 a dopad GDPR na zadávání veřejných zakázek Elektronické dokumenty ve vztahu k povinné elektronizaci

Více

ING Public Key Infrastructure ING PKI Postup při vydávaní certifikátů. Verze 5.2 květen 2012

ING Public Key Infrastructure ING PKI Postup při vydávaní certifikátů. Verze 5.2 květen 2012 ING Public Key Infrastructure ING PKI Postup při vydávaní certifikátů Verze 5.2 květen 2012 Tiráž Zpracovatel Další kopie ING PKI Policy Approval Authority (PAA) Další kopie tohoto dokumentu je možno získat

Více

Parlament se usnesl na tomto zákoně České republiky:

Parlament se usnesl na tomto zákoně České republiky: Strana 4466 Sbírka zákonů č. 297 / 2016 297 ZÁKON ze dne 24. srpna 2016, o službách vytvářejících důvěru pro elektronické transakce Parlament se usnesl na tomto zákoně České republiky: 1 Předmět úpravy

Více

10. funkční období. Návrh zákona o službách vytvářejících důvěru pro elektronické transakce

10. funkční období. Návrh zákona o službách vytvářejících důvěru pro elektronické transakce 306 10. funkční období 306 Návrh zákona o službách vytvářejících důvěru pro elektronické transakce (Navazuje na sněmovní tisk č. 763 ze 7. volebního období PS PČR) Lhůta pro projednání Senátem uplyne 27.

Více

Česká pošta, s.p. Certifikační autorita PostSignum

Česká pošta, s.p. Certifikační autorita PostSignum Česká pošta, s.p. Certifikační autorita PostSignum 6. 12. 2012 Ing. Miroslav Trávníček Služby certifikační autority Kvalifikované certifikáty komunikace s úřady státní správy Komerční certifikáty bezpečný

Více

Metodický pokyn k elektronickým podpisům a pečetím pro veřejnoprávní původce

Metodický pokyn k elektronickým podpisům a pečetím pro veřejnoprávní původce Metodický pokyn k elektronickým podpisům a pečetím pro veřejnoprávní původce Stručné shrnutí pravidel... 2 Co je to elektronický podpis a k čemu slouží... 4 Právní účinky elektronických podpisů... 5 Jaké

Více

eidas elektronická identita, elektronický podpis - příprava, dopad do praxe

eidas elektronická identita, elektronický podpis - příprava, dopad do praxe eidas elektronická identita, elektronický podpis - příprava, dopad do praxe Praha 25. 5. 2016 Mgr. Jan Schwaller Hlavní město Praha, Magistrát hlavního města Prahy, Archiv hlavního města Prahy, Oddělení

Více

Práce s el. dokumenty 2018 (správná tvorba el.dokumentu, podepisování, doručování )

Práce s el. dokumenty 2018 (správná tvorba el.dokumentu, podepisování, doručování ) Práce s el. dokumenty 2018 (správná tvorba el.dokumentu, podepisování, doručování ) Mgr. Michal Desenský vedoucí oddělení spisové služby Krajský úřad Pardubického kraje Správná tvorba - Datové formáty

Více

eidas... aneb co nám přináší nařízení EU č. 910/2014 ze dne

eidas... aneb co nám přináší nařízení EU č. 910/2014 ze dne eidas... aneb co nám přináší nařízení EU č. 910/2014 ze dne 23.7.2014 Ing.Robert Piffl Poradce náměstka ministra Nařízení již platí, ale co nám to přinese - připomenutí CO NÁM EIDAS PŘINÁŠÍ? Nařízení eidas

Více

POZMĚŇOVACÍ NÁVRHY 356-449

POZMĚŇOVACÍ NÁVRHY 356-449 EVROPSKÝ PARLAMENT 2009-2014 Výbor pro průmysl, výzkum a energetiku 21. 5. 2013 2012/0146(COD) POZMĚŇOVACÍ NÁVRHY 356-449 Návrh zprávy Marita Ulvskog (PE507.971v01-00) Evropského parlamentu a Rady o elektronické

Více

Aktuální stav ISDS. e-government 20:10, Mikulov. Česká pošta, s.p. 6.9.2011

Aktuální stav ISDS. e-government 20:10, Mikulov. Česká pošta, s.p. 6.9.2011 Aktuální stav ISDS e-government 20:10, Mikulov Česká pošta, s.p. 6.9.2011 Informační systém datových Aktuální data k 31. 8. 2011 442 124 aktivních datových schránek v druhé polovině 2012 očekáváme 500

Více

Česká pošta důvěryhodný partner státu

Česká pošta důvěryhodný partner státu Česká pošta důvěryhodný partner státu e-government 20:10, Mikulov Česká pošta, s.p. 6. 9. 2016 Obsah ISDS aktuální čísla Ukládání elektronických dokumentů Ukládání elektronických dokumentů v praxi PostSignum

Více

Účetnictví bez papíru

Účetnictví bez papíru Listopad 2017, Praha Účetnictví bez papíru právně i technicky Milan Vodička, ev.č. KDP ČR 1366 Copyright 2017 Milan Vodička, All rights reserved. Elektronicky a právně správně 3 Copyright 2015 Milan Vodicka.

Více

Povinnosti obcí plynoucí ze zákona o službách vytvářejících důvěru pro elektronické transakce

Povinnosti obcí plynoucí ze zákona o službách vytvářejících důvěru pro elektronické transakce Povinnosti obcí plynoucí ze zákona o službách vytvářejících důvěru pro elektronické transakce Mgr. Tomáš Lechner, Ph.D. Triada, spol. s r. o. Obsah Adaptace nařízení eidas Co přineslo nařízení eidas a

Více

Certifikační prováděcí směrnice

Certifikační prováděcí směrnice První certifikační autorita, a.s. Certifikační prováděcí směrnice (algoritmus RSA) Certifikační prováděcí směrnice (algoritmus RSA) je veřejným dokumentem, který je vlastnictvím společnosti První certifikační

Více

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI Jan Tejchman Business Consultant Digitální Evropa Digitální transformace Moderní paperless Právní validita Služby vytvářející důvěru Business aplikace

Více

eidas v praxi Aktuální témata

eidas v praxi Aktuální témata eidas v praxi Aktuální témata První certifikační autorita, a. s. Ing. Petr B u d i š, Ph.D., MBA 5. 4. 2018 Právní základ eidas Nařízení je platné od 17.9.2014 a účinné od 1. července 2016 s tím, že jednotlivá

Více

Metodický návod pro ověřování platnosti uznávaných elektronických podpisů a elektronických pečetí.

Metodický návod pro ověřování platnosti uznávaných elektronických podpisů a elektronických pečetí. Metodický návod pro ověřování platnosti uznávaných elektronických podpisů a elektronických pečetí. Historie dokumentu: Verze Vytvořeno Autor Poznámka Status 1 13.02.2016 FB první draft Návrh 2 14.03.2016

Více

Realizace eidas u poskytovatele důvěryhodných služeb

Realizace eidas u poskytovatele důvěryhodných služeb Realizace eidas u poskytovatele důvěryhodných služeb ICTU Workshop - Správa a ukládání důvěryhodných dokumentů Dagmar Bosáková 16. 2. 2016 Evropská směrnice a český zákon Dosud do 30. 6. 2016: Směrnice

Více

Zpráva pro uživatele CA

Zpráva pro uživatele CA První certifikační autorita, a.s. Zpráva pro uživatele CA hierarchická topologie kvalifikované a komerční certifikační služby Tato Zpráva pro uživatele CA je veřejným dokumentem, který je vlastnictvím

Více

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o. Zavádění PKI infrastruktury v organizaci - procesní aspekty Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o. Agenda Zavádění PKI v organizaci úvod Proč je procesní bezpečnost někdy náročnější

Více

227/2000 Sb. ZÁKON. ze dne 29. června 2000. (zákon o elektronickém podpisu) ČÁST PRVNÍ ELEKTRONICKÝ PODPIS. Účel zákona

227/2000 Sb. ZÁKON. ze dne 29. června 2000. (zákon o elektronickém podpisu) ČÁST PRVNÍ ELEKTRONICKÝ PODPIS. Účel zákona Změna: 226/2002 Sb. Změna: 517/2002 Sb. Změna: 440/2004 Sb. Změna: 635/2004 Sb. Změna: 501/2004 Sb., 444/2005 Sb. Změna: 110/2007 Sb. Změna: 124/2008 Sb. Změna: 190/2009 Sb. Změna: 223/2009 Sb. Změna:

Více

Zpráva pro uživatele TSA

Zpráva pro uživatele TSA První certifikační autorita, a.s. Zpráva pro uživatele TSA Tato Zpráva pro uživatele TSA je veřejným dokumentem, který je vlastnictvím společnosti První certifikační autorita, a.s. a byl vypracován jako

Více

Katedra informačních technologií PEF ČZU, Praha 6, Kamýcká ul., brechlerova@pef.czu.cz

Katedra informačních technologií PEF ČZU, Praha 6, Kamýcká ul., brechlerova@pef.czu.cz DIGITÁLNÍ PODPIS Dagmar Brechlerová Katedra informačních technologií PEF ČZU, Praha 6, Kamýcká ul., brechlerova@pef.czu.cz Abstrakt V referátu jsou vysvětleny základní pojmy týkající se digitálního podpisu.

Více

Zpráva pro uživatele TSA

Zpráva pro uživatele TSA První certifikační autorita, a.s. Zpráva pro uživatele TSA Tato Zpráva pro uživatele TSA je veřejným dokumentem, který je vlastnictvím společnosti První certifikační autorita, a.s. a byl vypracován jako

Více

Zpráva pro uživatele TSA

Zpráva pro uživatele TSA Verze 2.0 Podpis podepsáno elektronicky Podpis podepsáno elektronicky Datum Datum Garant dokumentu Ing. Miroslav Trávníček Schvalovatel Ing. Pavel Plachý Funkce vedoucí odd. vývoje QCA/VCA Funkce vedoucí

Více

Prokazování dlouhodobé platnosti datových zpráv. Jihlava, 31.1.2012

Prokazování dlouhodobé platnosti datových zpráv. Jihlava, 31.1.2012 Prokazování dlouhodobé platnosti datových zpráv Jihlava, 31.1.2012 Informační systém datových schránek Aktuální data k 29.1. 2012 431 062 aktivních datových schránek 68 884 490 úspěšně odeslaných datových

Více

Zpráva pro uživatele TSA

Zpráva pro uživatele TSA Verze 2.1 Dokument je řízen správcem řídicích dokumentů PKNU a platná verze je dostupná na dok. serveru PKNU, po vytištění se výtisk stává neřízeným dokumentem. Česká pošta, s.p., se sídlem Politických

Více

DŮVĚRYHODNÁ ELEKTRONICKÁ ARCHIVACE. Jan Tejchman Electronic Archiving Consultant

DŮVĚRYHODNÁ ELEKTRONICKÁ ARCHIVACE. Jan Tejchman Electronic Archiving Consultant DŮVĚRYHODNÁ ELEKTRONICKÁ ARCHIVACE Jan Tejchman Electronic Archiving Consultant Vytváření PKI Biometrie Důvěryhodná digitalizace Příchozí dokumenty Důvěryhodný el. dokument Zpracování X Provozní systémy

Více

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS Jan Tejchman Business Consultant Moderní paperless eidas Digitální důvěra NAŘÍZENÍ EIDAS A DIGITÁLNÍ DŮVĚRA DŮVĚRA VE FYZICKÉM SVĚTĚ legislativní prostředí

Více

Zpráva pro uživatele CA

Zpráva pro uživatele CA První certifikační autorita, a.s. Zpráva pro uživatele CA Tato Zpráva pro uživatele CA je veřejným dokumentem, který je vlastnictvím společnosti První certifikační autorita, a.s. a byl vypracován jako

Více

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce Základní princip Elektronický podpis Odesílatel podepíše otevřený text vznikne digitálně podepsaný text Příjemce ověří zda podpis patří odesílateli uvěří v pravost podpisu ověří zda podpis a text k sobě

Více

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptografie, elektronický podpis Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptologie Kryptologie věda o šifrování, dělí se: Kryptografie nauka o metodách utajování smyslu zpráv převodem do podoby,

Více

Telefónica O 2. Praktické aspekty dlouhodobého a důvěryhodného ukládání elektronických dokumentů

Telefónica O 2. Praktické aspekty dlouhodobého a důvěryhodného ukládání elektronických dokumentů Telefónica O 2 Praktické aspekty dlouhodobého a důvěryhodného ukládání elektronických dokumentů RNDr. Miroslav Šedivý Telefónica O2 Business Solutions, spol. s r.o. 2 Specifika elektronických dokumentů

Více

GDPR, eidas Procesní nebo technologický problém?

GDPR, eidas Procesní nebo technologický problém? GDPR, eidas Procesní nebo technologický problém? Co znamená nařízení eidas? Co znamená nařízení eidas Služby el. doporučeného doručení jedná se o přesně definované, účelově rozdělené a vzájemně se doplňující

Více

227/2000 Sb. ZÁKON ze dne 29. června 2000 o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu)

227/2000 Sb. ZÁKON ze dne 29. června 2000 o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu) 227/2000 Sb. ZÁKON ze dne 29. června 2000 o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu) ve znění zákonů č. 226/2002 Sb., č. 517/2002 Sb., č. 440/2004 Sb., č.

Více

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA PODNIKATELSKÁ FACULTY OF BUSINESS AND MANAGEMENT ÚSTAV INFORMATIKY INSTITUTE OF INFORMATICS IMPLEMENTACE DYNAMICKÉHO BIOMETRICKÉHO PODPISU

Více

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu V Y H L Á Š K A Úřadu pro ochranu osobních údajů ze dne 3. října 2001 o upřesnění podmínek stanovených v 6 a 17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpisu

Více

ELEKTRONICKÝ PODPIS ( 1-20)

ELEKTRONICKÝ PODPIS ( 1-20) 227/2000 Sb. znění účinné od 15. 4. 2010 do 30. 6. 2010 změněno s účinností od poznámka zákonem č. 226/2002 Sb. 1.7.2002 zákonem č. 517/2002 Sb. 1.1.2003 zákonem č. 440/2004 Sb. 26.7.2004 dnem vyhlášení

Více

Úplné znění zákona č. 227/2000 Sb.,

Úplné znění zákona č. 227/2000 Sb., Úplné znění zákona č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), jak vyplývá ze změn provedených zákonem č. 226/2002 Sb., zákonem č. 517/2002

Více

eidas Mgr. Dagmar Bosáková Smart Cards & Devices Forum

eidas Mgr. Dagmar Bosáková Smart Cards & Devices Forum eidas Smart Cards & Devices Forum 2016 Mgr. Dagmar Bosáková 27. 5. 2016 Nařízení eidas Nařízení Evropského parlamentu a Rady č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách

Více

Datové schránky konec obálek s pruhy

Datové schránky konec obálek s pruhy Datové schránky konec obálek s pruhy Petr Stiegler Ředitel sekce rozvoje služeb a e-governmentu Česká pošta s.p. Zákon o egovernmentu Zákon č. 300/2008 Sb. O elektronických úkonech a autorizované konverzi

Více

eidas Dopad na elektronický podpis v ČR

eidas Dopad na elektronický podpis v ČR eidas Dopad na elektronický podpis v ČR Mgr. Dagmar Bosáková První certifikační autorita, a.s. 7. 12. 2015 První certifikační autorita, a.s. (I.CA) Od r. 2001 poskytování certifikačních služeb (první v

Více

Zpráva pro uživatele CA

Zpráva pro uživatele CA První certifikační autorita, a.s. Zpráva pro uživatele CA hierarchická topologie kvalifikované a komerční certifikační služby Tato Zpráva pro uživatele CA je veřejným dokumentem, který je vlastnictvím

Více

194/2009 Sb. VYHLÁKA

194/2009 Sb. VYHLÁKA 194/2009 Sb. VYHLÁKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek Změna: 422/2010 Sb. Změna: 322/2015 Sb. Změna: 435/2016 Sb. Ministerstvo

Více

Aktuální stav implementace eidas. Filip Bílek

Aktuální stav implementace eidas. Filip Bílek Aktuální stav implementace eidas Filip Bílek Obsah prezentace Stručné informace o implementaci nařízení eidas v ČR. Stav služeb vytvářejících důvěru + přehled poskytovatelů v ČR. Stručné info o stavu kvalifikovaných

Více

ZÁKLADNÍ METODY REFLEKTOMETRIE

ZÁKLADNÍ METODY REFLEKTOMETRIE VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV RADIOELEKTRONIKY FACULTY OF ELECTRICAL ENGINEERING AND COMMUNICATION DEPARTMENT OF

Více

Lesk a bída elektronické fakturace Pavel Vondruška

Lesk a bída elektronické fakturace Pavel Vondruška Lesk a bída elektronické fakturace Pavel Vondruška BIST GigaCon 2006 Datum: 23-24 Říjen 2006, Místo: Praha, Hotel Pyramida http://gigacon.org/cz/conferences/gigacon/bin.html Slide2 Obsah Lesk Elektronická

Více

Elektronické záznamy, elektronické podpisy

Elektronické záznamy, elektronické podpisy Elektronické záznamy, elektronické podpisy Definice, požadavky, použití Milan Turinský Únor 2019 Co je ER Elektronický záznam Záznam v elektronické podobě Text Grafika Zvuk Data Vytvořený, uchovávaný,

Více

Nařízení eidas aneb elektronická identifikace nezná hranice

Nařízení eidas aneb elektronická identifikace nezná hranice Nařízení eidas aneb elektronická identifikace nezná hranice Mikulov, září 2014 Ing. Radek Horáček odbor egovernmentu MVČR Co znamená zkratka eidas Co znamená zkratka eidas electronic identification and

Více

ČÁST PRVNÍ ELEKTRONICKÝ PODPIS. Účel zákona

ČÁST PRVNÍ ELEKTRONICKÝ PODPIS. Účel zákona Úplné znění zákona č. 227/2000 Sb. o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu) jak vyplývá ze změn provedených zákonem č. 226/2002 Sb., zákonem č. 517/2002

Více

Zpráva pro uživatele CA

Zpráva pro uživatele CA Verze 3.1 Dokument je řízen správcem řídicích dokumentů PKNU a platná verze je dostupná na dok. serveru PKNU, po vytištění se výtisk stává neřízeným dokumentem. Česká pošta, s.p., se sídlem Politických

Více

Zákon č. 297/2016 Sb. o službách vytvářejících důvěru

Zákon č. 297/2016 Sb. o službách vytvářejících důvěru Zákon č. 297/2016 Sb. o službách vytvářejících důvěru Dne 19. září 2016 byl zveřejněn ve Sbírce zákonů zákon č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce a související změnový

Více

ČÁST PRVNÍ ELEKTRONICKÝ PODPIS. Účel zákona

ČÁST PRVNÍ ELEKTRONICKÝ PODPIS. Účel zákona Úplné znění zákona č. 227/2000 Sb. o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu) jak vyplývá ze změn provedených zákonem č. 226/2002 Sb., zákonem č. 517/2002

Více

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH Tomáš Vaněk ICT Security Consultant ELEKTRONICKÝ PODPIS A JEHO VLASTNOSTI Uplatnění elektronického podpisu a časového razítka Integrita Identifikace Nepopiratelnost

Více

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu Czech Point Co je Czech Point? Podací Ověřovací Informační Národní Terminál, tedy Czech POINT je projektem, který by měl zredukovat přílišnou byrokracii ve vztahu občan veřejná správa. Czech POINT bude

Více

Pedagogická fakulta Jihočeské univerzity České Budějovice katedra informatiky

Pedagogická fakulta Jihočeské univerzity České Budějovice katedra informatiky Pedagogická fakulta Jihočeské univerzity České Budějovice katedra informatiky Certifikáty a certifikační autority autor: vedoucí práce: Bc. Stanislav Čeleda PhDr. Milan Novák, Ph.D. rok zadání práce: 2010

Více

227/2000 Sb. ZÁKON ze dne 29. června 2000 ČÁST PRVNÍ ELEKTRONICKÝ PODPIS

227/2000 Sb. ZÁKON ze dne 29. června 2000 ČÁST PRVNÍ ELEKTRONICKÝ PODPIS Systém ASPI - stav k 3.6.2009 do částky 45/2009 Sb. a 18/2009 Sb.m.s. Obsah a text 227/2000 Sb. - poslední stav textu 227/2000 Sb. ZÁKON ze dne 29. června 2000 o elektronickém podpisu a o změně některých

Více

Víc než kvalifikovaná služba. SecuSign.

Víc než kvalifikovaná služba. SecuSign. Víc než kvalifikovaná služba. SecuSign. Ing. Pavel Nemrava Software602 6. září 2017 Software602 a.s. neuděluje poskytnutím informací žádné licence na užití autorských děl ani jiná práva duševního vlastnictví.

Více

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s Služba vzdáleného pečetění Ing. Roman Kučera První certifikační autorita, a.s. 24. 4. 2019 Hovořit budeme o splnění povinnosti veřejnoprávního podepisujícího danou 8 zákona č. 297/2016 Sb.: Nestanoví-li

Více

EIDAS A JEHO PRAKTICKÉ DOPADY DO VEŘEJNÉ SPRÁVY. Petr Dolejší Senior Solution Consultant

EIDAS A JEHO PRAKTICKÉ DOPADY DO VEŘEJNÉ SPRÁVY. Petr Dolejší Senior Solution Consultant EIDAS A JEHO PRAKTICKÉ DOPADY DO VEŘEJNÉ SPRÁVY Petr Dolejší Senior Solution Consultant EVROPSKÉ NAŘÍZENÍ Č. 910/2014 (EIDAS) A DIGITÁLNÍ DŮVĚRA EVROPSKÉ NAŘÍZENÍ eidas Zavedení důvěry pro vytváření, používání

Více

Služby egovernmentu. Certifikační autorita PostSignum Poštovní datová zpráva. Pavel Plachý Andrea Barešová

Služby egovernmentu. Certifikační autorita PostSignum Poštovní datová zpráva. Pavel Plachý Andrea Barešová Služby egovernmentu Certifikační autorita PostSignum Poštovní datová zpráva Pavel Plachý Andrea Barešová Certifikační autorita PostSignum Služby certifikační autority Komerční certifikáty - bezpečný způsob

Více

Datové schránky konec obálek s pruhy. László Hajnal PMO MV Ministerstvo vnitra ČR, Česká pošta s. p.

Datové schránky konec obálek s pruhy. László Hajnal PMO MV Ministerstvo vnitra ČR, Česká pošta s. p. Datové schránky konec obálek s pruhy László Hajnal PMO MV Ministerstvo vnitra ČR, Česká pošta s. p. Zákon o egovernmentu Zákon č. 300/2008 Sb. O elektronických úkonech a autorizované konverzi dokumentů

Více

Zpráva pro uživatele CA

Zpráva pro uživatele CA Verze 3.0 Podpis podepsáno elektronicky Podpis podepsáno elektronicky Datum Datum Garant dokumentu Ing. Miroslav Trávníček Schvalovatel Ing. Pavel Plachý Funkce vedoucí odd. vývoje QCA/VCA Funkce vedoucí

Více